Entfernung des Bundespolizei/UKASH-Trojaners

tnor · 08.08.2011, 17:44

Sehr geehrtes Trojaner-Board-Team,

leider zaehle ich seit vorgestern auch zu den Opfern des Bundespolizei/UKASH-
Trojaners. Hab' ihn mir beim Surfen mit Firefox-Portable eingefangen. Auf
dem Rechner ist Windows XP Professional und das SP3 installiert. Nach einer
Internetrecherche auf einem nicht infizierten Zweitrechner schien mir die
im April vom BSI empfohlene Kaspersky Rescue CD sinnvoll zu sein.
(hxxp://www.n-tv.de/technik/BKA-Trojaner-richtig-entfernen-article3147536.html)
Dieser Versuch blieb leider erfolglos und der Computer ist nach wie vor
blockiert. Offenbar habe ich mir eine neuere Variante eingehandelt.

Anschliessend bin ich auf Ihr Board gestossen. Nach der Lektuere einiger
Threads zu besagtem Uebeltaeter habe ich die OTLPE-CD gebrannt
und einen Scan durchgefuehrt. Dabei wurde folgende OTL.txt erzeugt:

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 8/7/2011 6:11:58 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 100.00 Gb Total Space | 3.10 Gb Free Space | 3.10% Space Free | Partition Type: NTFS
Drive D: | 615.00 Gb Total Space | 1.48 Gb Free Space | 0.24% Space Free | Partition Type: NTFS
Drive E: | 16.52 Gb Total Space | 0.84 Gb Free Space | 5.11% Space Free | Partition Type: NTFS
Drive F: | 100.00 Gb Total Space | 1.05 Gb Free Space | 1.05% Space Free | Partition Type: NTFS
Drive G: | 100.00 Gb Total Space | 0.86 Gb Free Space | 0.86% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (MSICDSetup)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/04/11 08:30:47 | 000,068,960 | ---- | M] (VSO Software) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Pcatip.sys -- (Pcatip)
DRV - [2010/11/30 08:27:52 | 000,149,632 | ---- | M] (ODSoft multimedia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\kncbda32.sys -- (kncbda)
DRV - [2010/07/06 06:26:54 | 006,088,296 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2010/07/05 23:13:10 | 000,234,392 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010/05/24 08:09:28 | 004,003,008 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
DRV - [2010/02/10 10:22:04 | 004,614,144 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009/12/21 21:26:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbfilter.sys -- (usbfilter)
DRV - [2009/11/17 19:17:00 | 001,395,800 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009/11/17 19:16:00 | 001,691,480 | R--- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008/04/13 19:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2007/04/16 11:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2007/02/17 19:15:34 | 000,232,816 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm)
DRV - [2007/01/29 01:20:34 | 000,059,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
 
 
 
IE - HKU\Thomas_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Dokumente/HTML/startseite/index.html
IE - HKU\Thomas_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
 
 
[2011/08/06 18:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\mozilla\Extensions
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Thomas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Thomas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe (Norwalk Johann Nazism Bloomfield Oregon Hendricks)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/03/16 18:51:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/08/07 06:16:09 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2011/08/06 19:04:20 | 000,151,552 | ---- | C] (Norwalk Johann Nazism Bloomfield Oregon Hendricks) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe
[2011/08/06 18:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla
[2011/07/30 13:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GlobeTV 2011
[2011/07/30 11:07:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\GlobeTV 2011
[2011/07/30 10:14:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Kopie (4) von GlobeTV 2011
[2011/07/30 08:50:09 | 000,000,000 | ---D | C] -- C:\Programme\Resource Kit
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/08/07 07:58:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/08/07 05:48:27 | 000,392,296 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/08/07 05:48:26 | 000,405,118 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/08/07 05:48:26 | 000,070,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/08/07 05:48:26 | 000,058,596 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/08/06 19:04:20 | 000,151,552 | ---- | M] (Norwalk Johann Nazism Bloomfield Oregon Hendricks) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe
[2011/08/06 03:50:58 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/07/30 13:20:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GlobeTV 2011
[2011/07/30 13:12:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Video
[2011/07/30 10:03:37 | 000,002,870 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\ODSTR.xml
[2011/07/26 12:29:24 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2011/07/13 12:05:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\tasks\shutdown.job
[2011/07/11 10:07:22 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/04/01 07:32:19 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/04/01 07:32:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011/03/19 07:09:54 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2011/03/18 15:01:20 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2011/03/17 06:29:57 | 000,080,416 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011/03/17 06:25:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2011/03/17 06:24:56 | 000,887,724 | R--- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2011/03/17 06:24:56 | 000,200,828 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011/03/17 06:24:56 | 000,000,003 | R--- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2011/03/17 06:24:54 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2011/03/17 06:24:52 | 000,294,912 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2011/03/17 01:34:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/03/17 01:33:38 | 000,640,328 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/03/16 18:52:53 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/03/16 18:48:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,405,118 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,392,296 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,070,580 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,058,596 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2011/03/19 21:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\GraphManager
[2011/04/24 12:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\JonDo
[2011/04/29 06:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ProtectDisc
[2011/08/03 12:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\StarOffice8
[2011/07/30 11:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Vso
[2011/04/18 07:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2011/07/13 12:05:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\shutdown.job
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

Ich bitte Sie mir bei der Beseitigung meines Problems zu helfen.

Viele Gruesse und Danke im Voraus

Thomas

cosinus · 09.08.2011, 21:07

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe (Norwalk Johann Nazism Bloomfield Oregon Hendricks)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/03/16 18:51:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011/08/06 19:04:20 | 000,151,552 | ---- | C] (Norwalk Johann Nazism Bloomfield Oregon Hendricks) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe
[2011/07/13 12:05:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\shutdown.job
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

tnor · 10.08.2011, 21:01

Hurra der Rechner startet wieder

Hallo Arne,
vielen Dank für die tolle Hilfe! Nach dem FIX fährt der
Rechner wieder normal hoch. Von der 'Bundespolizei' ist
nichts mehr zu sehen.

Der FIX-Vorgang hat folgendes Logfile ergeben:

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe deleted successfully.
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe not found.
C:\WINDOWS\Tasks\shutdown.job moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 08102011_221544

Den Quarantäneordner von OTL hab' ich hochgeladen.

Viele Grüße und vielen Dank

Thomas

cosinus · 11.08.2011, 08:28

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

tnor · 12.08.2011, 07:56

Hallo Arne,
weil ich gestern den ganzen Tag unterwegs war und konnte ich die Scans
erst heute durchführen. Sie haben folgendes ergeben:

Malwarebytes' Anti-Malware LOG:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7440

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

12.08.2011 07:36:34
mbam-log-2011-08-12 (07-36-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|T:\|Y:\|)
Durchsuchte Objekte: 254876
Laufzeit: 17 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\08102011_221544\c_dokumente und einstellungen\Thomas\anwendungsdaten\jashla.exe (Backdoor.Bot) -> No action taken.

OTL.txt:

Code:

ATTFilter

OTL logfile created on: 12.08.2011 07:40:16 - Run 1
OTL by OldTimer - Version 3.2.26.1     Folder = D:\Software\OTL
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,87 Gb Total Physical Memory | 1,23 Gb Available Physical Memory | 65,63% Memory free
4,73 Gb Paging File | 4,21 Gb Available in Paging File | 89,18% Paging File free
Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 100,00 Gb Total Space | 1,22 Gb Free Space | 1,22% Space Free | Partition Type: NTFS
Drive D: | 100,00 Gb Total Space | 1,03 Gb Free Space | 1,03% Space Free | Partition Type: NTFS
Drive E: | 100,00 Gb Total Space | 0,86 Gb Free Space | 0,86% Space Free | Partition Type: NTFS
Drive T: | 16,52 Gb Total Space | 0,84 Gb Free Space | 5,11% Space Free | Partition Type: NTFS
Drive Y: | 615,00 Gb Total Space | 1,48 Gb Free Space | 0,24% Space Free | Partition Type: NTFS
 
Computer Name: MAJESTIX | User Name: Thomas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.08.12 07:38:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- D:\Software\OTL\OTL.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.08.12 07:38:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- D:\Software\OTL\OTL.exe
MOD - [2008.04.14 08:50:12 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.04.11 14:30:47 | 000,068,960 | ---- | M] (VSO Software) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Pcatip.sys -- (Pcatip)
DRV - [2010.11.30 14:27:52 | 000,149,632 | ---- | M] (ODSoft multimedia) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kncbda32.sys -- (kncbda)
DRV - [2010.07.06 12:26:54 | 006,088,296 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2010.07.06 05:13:10 | 000,234,392 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010.05.24 14:09:28 | 004,003,008 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
DRV - [2010.02.10 16:22:04 | 004,614,144 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.12.22 03:26:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\usbfilter.sys -- (usbfilter)
DRV - [2009.11.18 01:17:00 | 001,395,800 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 01:16:00 | 001,691,480 | R--- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008.04.14 01:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2007.04.16 17:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2007.02.18 01:15:34 | 000,232,816 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm)
DRV - [2007.01.29 07:20:34 | 000,059,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Dokumente/HTML/startseite/index.html
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
 
 
[2011.08.07 00:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Extensions
 
O1 HOSTS File: ([2011.08.11 04:15:48 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] D:\Utilities\ Malwarebytes Anti-Malware \mbamgui.exe (Malwarebytes Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Bilder\Wallpaper\default_resized_to_1440x900_satur_reduce15_sharpened.bmp
O24 - Desktop BackupWallPaper: E:\Bilder\Wallpaper\default_resized_to_1440x900_satur_reduce15_sharpened.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.WMV3 - C:\WINDOWS\System32\wmv9vcm.dll (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.12 07:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Malwarebytes
[2011.08.12 07:12:02 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.08.12 07:12:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.08.12 07:11:59 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.08.11 04:15:44 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.08.07 12:16:09 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2011.08.07 00:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla
[2011.07.30 19:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GlobeTV 2011
[2011.07.30 17:07:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\GlobeTV 2011
[2011.07.30 16:14:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Kopie (4) von GlobeTV 2011
[2011.07.30 14:50:09 | 000,000,000 | ---D | C] -- C:\Programme\Resource Kit
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.12 07:13:01 | 000,407,124 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.08.12 07:13:01 | 000,393,106 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.08.12 07:13:01 | 000,071,500 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.08.12 07:13:01 | 000,059,406 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.08.12 07:08:42 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.08.12 07:08:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.08.12 07:08:39 | 2012,401,664 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.10 23:42:58 | 000,143,491 | ---- | M] () -- C:\_OTL.zip
[2011.07.30 16:03:37 | 000,002,870 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\ODSTR.xml
[2011.07.26 18:29:24 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.08.10 23:42:58 | 000,143,491 | ---- | C] () -- C:\_OTL.zip
[2011.08.10 23:41:43 | 2012,401,664 | -HS- | C] () -- C:\hiberfil.sys
[2011.04.01 13:32:19 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.01 13:32:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011.03.19 13:09:54 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2011.03.18 21:01:20 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2011.03.17 12:29:57 | 000,080,416 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011.03.17 12:25:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2011.03.17 12:24:56 | 000,887,724 | R--- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2011.03.17 12:24:56 | 000,200,828 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011.03.17 12:24:56 | 000,000,003 | R--- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2011.03.17 12:24:54 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2011.03.17 12:24:52 | 000,294,912 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2011.03.17 07:34:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.03.17 07:33:38 | 000,640,328 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.03.17 00:52:53 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.03.17 00:48:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,407,124 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,393,106 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,071,500 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,059,406 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2011.04.18 13:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2011.03.20 03:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\GraphManager
[2011.04.24 18:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\JonDo
[2011.04.29 12:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ProtectDisc
[2011.08.03 18:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\StarOffice8
[2011.07.30 17:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Vso
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.03.18 12:53:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Adobe
[2011.03.18 12:53:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\AdobeUM
[2011.03.17 12:27:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ATI
[2011.03.30 15:02:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Corel
[2011.03.24 11:14:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Google
[2011.03.20 03:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\GraphManager
[2011.03.30 14:16:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Help
[2011.03.17 00:54:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Identities
[2011.03.17 12:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\InstallShield
[2011.04.24 18:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\JonDo
[2011.03.17 13:45:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Macromedia
[2011.08.12 07:12:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Malwarebytes
[2011.03.23 03:38:44 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft
[2011.08.12 07:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla
[2011.04.29 12:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ProtectDisc
[2011.08.03 18:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\StarOffice8
[2011.03.19 11:47:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun
[2011.03.24 17:01:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\UltraVNC
[2011.07.30 17:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Vso
[2011.03.19 11:29:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\WinRAR
 
< %APPDATA%\*.exe /s >
[2011.03.17 12:24:47 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Installer\{7A1107CD-A2EF-B18D-65E6-D8496CC99BB7}\ARPPRODUCTICON.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 08:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 08:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 08:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 08:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 08:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 08:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 08:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 08:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 08:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 08:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 08:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 08:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2011.03.17 08:32:45 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2011.03.17 08:32:45 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2011.03.17 08:32:45 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >

Der OTL-Scan hat auch noch die anghängte Extra.txt erzeugt.

Viele Grüße

Thomas

cosinus · 12.08.2011, 10:33

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

tnor · 12.08.2011, 18:54

Hallo Arne,
ComboFix hab' ich mit folgendem Resultat ausgeführt:

Code:

ATTFilter

ComboFix 11-08-12.01 - Thomas 12.08.2011  19:40:37.1.3 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1919.1448 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-12 bis 2011-08-12  ))))))))))))))))))))))))))))))
.
.
2011-07-30 12:50 . 2011-07-30 12:50	--------	d-----w-	c:\programme\Resource Kit
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-10 21:42 . 2011-08-10 21:42	143491	----a-w-	C:\_OTL.zip
2011-07-26 16:17 . 2011-03-23 01:38	165232	---ha-w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
2011-06-20 15:32 . 2011-06-20 15:32	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 98304]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Utilities\\UltraVNC\\vncviewer.exe"=
"d:\\Video\\VLCPortable 0.99\\App\\vlc\\vlc.exe"=
"d:\\Utilities\\uTorrentPortable\\App\\utorrent\\utorrent.exe"=
.
R3 kncbda;KNC BDA DVB-S;c:\windows\system32\drivers\kncbda32.sys [19.03.2011 13:09 149632]
R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [17.03.2011 12:25 30392]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.03.2011 12:21 1691480]
S3 MSICDSetup;MSICDSetup;\??\x:\cdriver.sys --> x:\CDriver.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = file:///E:/Dokumente/HTML/startseite/index.html
TCP: Interfaces\{A389C639-AD42-472D-8828-8FB8E6BEAFA2}: NameServer = 192.168.0.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-12 19:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(972)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2011-08-12  19:42:59
ComboFix-quarantined-files.txt  2011-08-12 17:42
.
Vor Suchlauf: 1.218.543.616 Bytes frei
Nach Suchlauf: 1.355.083.776 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 82917770A94C987D5DC3ADA4084422EB

Viele Grüße

Thomas

cosinus · 12.08.2011, 19:44

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

tnor · 13.08.2011, 17:59

Hallo Arne,
anbei das Ergebnis des ComboFix-Durchlaufs mit CFScript.txt:

Code:

ATTFilter

ComboFix 11-08-13.02 - Thomas 13.08.2011  18:47:05.2.3 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1919.1412 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Thomas\Desktop\CFScript.txt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-13 bis 2011-08-13  ))))))))))))))))))))))))))))))
.
.
2011-08-12 05:12 . 2011-08-12 05:12	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2011-08-12 05:12 . 2011-08-12 05:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-12 05:12 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-12 05:11 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-11 02:15 . 2011-08-11 02:15	--------	d-----w-	C:\_OTL
2011-08-07 10:16 . 2011-08-07 11:40	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2011-07-30 12:50 . 2011-07-30 12:50	--------	d-----w-	c:\programme\Resource Kit
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-10 21:42 . 2011-08-10 21:42	143491	----a-w-	C:\_OTL.zip
2011-07-26 16:17 . 2011-03-23 01:38	165232	---ha-w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
2011-06-20 15:32 . 2011-06-20 15:32	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-08-12_17.42.31   )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00 . 2011-08-12 17:35	59406              c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2011-08-13 16:46	59406              c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2011-08-12 17:35	71500              c:\windows\system32\perfc007.dat
+ 2004-08-04 12:00 . 2011-08-13 16:46	71500              c:\windows\system32\perfc007.dat
+ 2004-08-04 12:00 . 2011-08-13 16:46	393106              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2011-08-12 17:35	393106              c:\windows\system32\perfh009.dat
+ 2004-08-04 12:00 . 2011-08-13 16:46	407124              c:\windows\system32\perfh007.dat
- 2004-08-04 12:00 . 2011-08-12 17:35	407124              c:\windows\system32\perfh007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 98304]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Utilities\\UltraVNC\\vncviewer.exe"=
"d:\\Video\\VLCPortable 0.99\\App\\vlc\\vlc.exe"=
"d:\\Utilities\\uTorrentPortable\\App\\utorrent\\utorrent.exe"=
.
R3 kncbda;KNC BDA DVB-S;c:\windows\system32\drivers\kncbda32.sys [19.03.2011 13:09 149632]
R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [17.03.2011 12:25 30392]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.03.2011 12:21 1691480]
S3 MSICDSetup;MSICDSetup;\??\x:\cdriver.sys --> x:\CDriver.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = file:///E:/Dokumente/HTML/startseite/index.html
TCP: Interfaces\{A389C639-AD42-472D-8828-8FB8E6BEAFA2}: NameServer = 192.168.0.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-13 18:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(972)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2011-08-13  18:49:05
ComboFix-quarantined-files.txt  2011-08-13 16:49
.
Vor Suchlauf: 1.352.032.256 Bytes frei
Nach Suchlauf: 1.340.387.328 Bytes frei
.
- - End Of File - - 82270970FDEB0A883D529C379AD2D4BB

Viele Grüße

Thomas

cosinus · 15.08.2011, 11:00

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

tnor · 17.08.2011, 11:10

Hallo Arne,
die Scans wurden gestern durchgeführt. Hab's aber leider
nicht mehr geschafft die Resultate zu posten. Hoffentlich
habe ich es richtig gemacht bei OSAM den Online-Scan zu
überspringen und bei aswMBR.exe die 'QuickScan'-Auswahl
beizubehalten.

Hier nun die Ergebnisse:

GMER

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-16 10:11:40
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HDS721010CLA332 rev.JP4OA3MA
Running: 3id7nqnr.exe; Driver: C:\DOKUME~1\Thomas\LOKALE~1\Temp\kwldypow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys  section is writeable [0xB58EF000, 0x2326C7, 0xE8000020]

---- EOF - GMER 1.0.15 ----

OSAM

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 10:19:12 on 16.08.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\DOKUME~1\Thomas\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"KNC BDA DVB-S" (kncbda) - "ODSoft multimedia" - C:\WINDOWS\System32\DRIVERS\kncbda32.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Low level access layer for CD devices" (Pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\Pcouffin.sys
"MSICDSetup" (MSICDSetup) - ? - X:\CDriver.sys  (File not found)
"Pcatip" (Pcatip) - "VSO Software" - C:\WINDOWS\System32\DRIVERS\Pcatip.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Virtual Machine Monitor" (vmm) - "Microsoft Corporation" - C:\WINDOWS\system32\Drivers\vmm.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - D:\Office\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{8932AEFE-9DB6-4f43-AFB2-5682F55E773A} "VPCHostCopyHook" - "Microsoft Corporation" - D:\Utilities\Virtual PC 2007\VPCShExH.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\Utilities\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{33564D57-0000-0010-8000-00AA00389B71} "{33564D57-0000-0010-8000-00AA00389B71}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - D:\Office\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

aswMBR

Code:

ATTFilter

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-16 10:22:35
-----------------------------
10:22:35.734    OS Version: Windows 5.1.2600 Service Pack 3
10:22:35.734    Number of processors: 3 586 0x503
10:22:35.734    ComputerName: MAJESTIX  UserName: Thomas
10:22:36.125    Initialize success
10:26:05.359    AVAST engine defs: 11081501
10:27:42.468    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:27:42.468    Disk 0 Vendor: Hitachi_HDS721010CLA332 JP4OA3MA Size: 953869MB BusType: 3
10:27:44.468    Disk 0 MBR read successfully
10:27:44.468    Disk 0 MBR scan
10:27:44.468    Disk 0 Windows XP default MBR code
10:27:44.468    Disk 0 scanning sectors +1953520065
10:27:44.515    Disk 0 scanning C:\WINDOWS\system32\drivers
10:27:49.531    Service scanning
10:27:49.640    Service MSICDSetup X:\CDriver.sys **LOCKED** 21
10:27:50.187    Modules scanning
10:27:52.328    Disk 0 trace - called modules:
10:27:52.328    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
10:27:52.328    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89cf9ab8]
10:27:52.343    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000066[0x89d43288]
10:27:52.343    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89c90d98]
10:27:52.734    AVAST engine scan C:\WINDOWS
10:27:56.062    AVAST engine scan C:\WINDOWS\system32
10:28:45.390    AVAST engine scan C:\WINDOWS\system32\drivers
10:28:52.671    AVAST engine scan C:\Dokumente und Einstellungen\Thomas
10:29:17.250    AVAST engine scan C:\Dokumente und Einstellungen\All Users
10:29:22.859    Scan finished successfully
10:31:47.015    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Thomas\Desktop\MBR.dat"
10:31:47.015    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Thomas\Desktop\aswMBR.txt"

Viele Grüße

Thomas

cosinus · 17.08.2011, 11:28

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

tnor · 25.08.2011, 18:35

Hallo Arne,
leider hatte ich die letzten Tage total viel um die Ohren,
so dass ich mich erst gestern und heute wieder um den
'Patienten' kümmern konnte. Die Scans haben folgende
Log-Dateien ergeben:

Malwarebytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7552

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

24.08.2011 15:50:49
mbam-log-2011-08-24 (15-50-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|T:\|V:\|W:\|Y:\|)
Durchsuchte Objekte: 253436
Laufzeit: 18 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\08102011_221544\c_dokumente und einstellungen\Thomas\anwendungsdaten\jashla.exe (Backdoor.Bot) -> No action taken.

SUPERAntiSpyware

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/25/2011 at 08:27 AM

Application Version : 5.0.1118

Core Rules Database Version : 7600
Trace Rules Database Version: 5412

Scan type       : Complete Scan
Total Scan Time : 00:37:06

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 512
Memory threats detected   : 0
Registry items scanned    : 35435
Registry threats detected : 0
File items scanned        : 145618
File threats detected     : 34

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@2o7[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad.yieldmanager[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad2.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad3.adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad4.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ads.quartermedia[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adsrv1.admediate[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adtech[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adviva[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@apmebf[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@atdmt[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@bs.serving-sys[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@eas.apm.emediate[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ehg-linksys.hitbox[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@hitbox[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@invitemedia[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@mediaplex[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@msnportal.112.2o7[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@revsci[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@serving-sys[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@smartadserver[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@specificclick[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tracking.quisma[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tradedoubler[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@traffictrack[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@xiti[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@zanox[2].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tmobile[1].txt
	C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@cgi-bin[2].txt
	atdmt.com [ Y:\MIRACULIX_BAK__E__DATEN\ASTERIX\PARTITION_C\WINDOWS\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\9R7KCVPW ]

ESET Online Scanner

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cbbb623f97ab7f4f9c67d34f08421f22
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-08-25 12:58:41
# local_time=2011-08-25 02:58:41 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 7839 7839 0 0
# scanned=108701
# found=6
# cleaned=0
# scan_time=3458
C:\_OTL.zip	a variant of Win32/Injector.ITY trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08102011_221544\C_Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe	a variant of Win32/Injector.ITY trojan (unable to clean)	00000000000000000000000000000000	I
D:\Software\HFS - HTTP File Server 2.1d\hfs.exe	a variant of Win32/Server-Web.HFS.A application (unable to clean)	00000000000000000000000000000000	I
Y:\Miraculix_BAK__E__Daten\Asterix\Partition_C\Eigene Dateien\hfs.new.exe	a variant of Win32/Server-Web.HFS.A application (unable to clean)	00000000000000000000000000000000	I
Y:\Miraculix_BAK__E__Daten\Asterix\Partition_C\Internet\HFS-HTTP_File_Server\hfs.exe	a variant of Win32/Server-Web.HFS.A application (unable to clean)	00000000000000000000000000000000	I
Y:\Miraculix_BAK__F__Misc\Software\HFS-HTTP_File_Server.exe	a variant of Win32/Server-Web.HFS.A application (unable to clean)	00000000000000000000000000000000	I

Viele Grüße

Thomas

cosinus · 25.08.2011, 20:04

Nur Cookies (bei SASW), isolierte Überreste (bei Malwarebytes und ESET, harmlos) sowie offensichtliche Fehlalarme bei ESET => HFS-HTTP_File_Server

Rechner soweit wieder im Lot?

25.08.2011, 20:04	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Entfernung des Bundespolizei/UKASH-Trojaners Nur Cookies (bei SASW), isolierte Überreste (bei Malwarebytes und ESET, harmlos) sowie offensichtliche Fehlalarme bei ESET => HFS-HTTP_File_Server Rechner soweit wieder im Lot? __________________ Logfiles bitte immer in CODE-Tags posten

Entfernung des Bundespolizei/UKASH-Trojaners

Log-Analyse und Auswertung: Entfernung des Bundespolizei/UKASH-Trojaners