Facebook Virus - als .jpg getarnte .scr Datei - vermutlich Virus?

ekiM · 15.08.2011, 23:33

Guten Abend liebe Trojaner Gemeinde

Ich fürchte ich habe mir über Facebook den tollen "bist Du das?" Virus eingefangen, bei dem in der Nachricht angeblich ein Bild angehängt war. Ich gebs zu, dieser verkürzte Link hätte mir eigentlich schon zu denken geben müssen. Aber da die Nachricht von einer "realen" Freundin kam, hab ich mein Hirn wohl kurzzeitig ausgeschaltet

Nachdem ich mich durch so einige Startregeln hier gelesen habe, habe ich auch schon ein paar Logs vorliegen, die ich im folgenden gerne einfügen möchte:

MBAM Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Database version: 7470

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

15.08.2011 20:20:38
mbam-log-2011-08-15 (20-20-38).txt

Scan type: Full scan (A:\|C:\|D:\|)
Objects scanned: 192638
Time elapsed: 40 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\dokumente und einstellungen\Ebert\lokale einstellungen\temporary internet files\Content.IE5\412GWCAJ\kuk[1].exe (Rootkit.0Access.XGen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Ebert\anwendungsdaten\msnsvconfig.txt (Malware.Trace) -> Quarantined and deleted successfully.

OTL Log

Code:

ATTFilter

OTL logfile created on: 15.08.2011 02:57:35 - Run 1
OTL by OldTimer - Version 3.2.26.3     Folder = C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
735,48 Mb Total Physical Memory | 310,43 Mb Available Physical Memory | 42,21% Memory free
1,76 Gb Paging File | 1,43 Gb Available in Paging File | 81,37% Paging File free
Paging file location(s): C:\pagefile.sys 1104 2208 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 24,41 Gb Free Space | 65,51% Space Free | Partition Type: NTFS
 
Computer Name: EBERT-87B874AAF | User Name: Ebert | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe ()
PRC - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe (Google Inc.)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe (Google Inc.)
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\ppgooglenaclpluginchrome.dll ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\pdf.dll ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\Locales\de.dll ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\icudt.dll (The ICU Project)
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\chrome.dll (Google Inc.)
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\avutil-50.dll ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\avformat-52.dll ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\avcodec-52.dll ()
MOD - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\13.0.782.112\gcswf32.dll ()
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbamnet.dll (Malwarebytes Corporation)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbamcore.dll (Malwarebytes Corporation)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbam.dll (Malwarebytes Corporation)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.dll (Adobe Systems, Inc.)
MOD - C:\Programme\Malwarebytes' Anti-Malware\vbalsgrid6.ocx (vbAccelerator)
MOD - C:\Programme\Malwarebytes' Anti-Malware\ssubtmr6.dll (vbAccelerator)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\RICHED20.DLL (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.6161_x-ww_31a54e43\msvcr90.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.6161_x-ww_31a54e43\msvcp90.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\spool\prtprocs\w32x86\CIBpdfPP.dll (CIB software GmbH, München)
MOD - C:\Programme\CIB software GmbH\CIB pdf brewer\CIBpdfAddIn.dll (CIB software GmbH, München)
MOD - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mfc42u.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6002.22509_x-ww_c7dad023\GdiPlus.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\asycfilt.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\System\MSMAPI\1031\MSMAPI32.DLL (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VBA\VBA6\VBE6.DLL (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mscms.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msdtcprx.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msdtcuiu.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\wbem\wmiaprpl.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\shfolder.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfctrs.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfproc.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfnet.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvbvm60.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\loadperf.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\dsound.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\dciman32.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Smart Tag\1031\STINTL.DLL (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Smart Tag\FNAME.DLL (Microsoft Corporation)
MOD - C:\WINDOWS\system32\spool\drivers\w32x86\3\mdigraph.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\spool\drivers\w32x86\3\mdiui.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mdimon.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VBA\VBA6\1031\VBE6INTL.DLL (Microsoft Corporation)
MOD - C:\WINDOWS\system32\PortableDeviceApi.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\PortableDeviceTypes.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\PROOF\1031\MSGR3GE.DLL (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\PROOF\MSSP3GE.DLL (Lingsoft, Inc.)
MOD - C:\WINDOWS\system32\mfc42loc.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\traffic.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\utildll.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\rasctrs.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfts.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\pschdprf.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\rsvpperf.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\tapiperf.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\INK\INKOBJ.DLL (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\PROOF\MSLID.DLL (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudio.sys (VIA Technologies, Inc.)
DRV - (DrvAgent32) -- C:\WINDOWS\system32\drivers\DrvAgent32.sys (Phoenix Technologies)
DRV - (S3SavageNB) -- C:\WINDOWS\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://facebook.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
 
 
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Microsoft® Windows Security] C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe ()
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1302627512284 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.09 11:37:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.15 02:03:22 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.08.15 02:03:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.08.15 02:03:18 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.08.15 02:03:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.08.15 01:45:27 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2011.08.15 01:45:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2011.08.15 01:22:33 | 000,000,000 | ---D | C] -- C:\Programme\Common Files
[2011.08.15 00:58:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\QuickScan
[2011.08.14 16:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Malwarebytes
[2011.08.14 16:07:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.08.14 13:59:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.08.13 00:14:26 | 000,000,000 | RHSD | C] -- C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275
[2011.08.10 08:57:31 | 000,139,656 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rdpwd.sys
[2011.08.10 08:54:41 | 000,010,496 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndistapi.sys
[2011.08.07 15:22:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\ScummVM
[2011.08.07 15:22:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ScummVM
[2011.08.07 15:22:23 | 000,000,000 | ---D | C] -- C:\Programme\ScummVM
[2011.08.07 15:12:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Spiele
[2011.08.07 15:11:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Startmenü\Programme\Computerbrains
[2011.08.07 15:11:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\CCS64
[2011.08.07 15:11:31 | 000,000,000 | ---D | C] -- C:\Programme\Computerbrains C.C.S
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.15 02:50:31 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\pxgwph.sys
[2011.08.15 02:29:02 | 000,001,210 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004UA.job
[2011.08.15 02:21:02 | 000,000,370 | ---- | M] () -- C:\WINDOWS\tasks\Final Media Player Update Checker.job
[2011.08.15 01:42:01 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.08.15 01:42:00 | 771,280,896 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.14 23:29:01 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004Core.job
[2011.08.14 15:20:20 | 000,045,573 | -H-- | M] () -- C:\WINDOWS\System32\userdiff.sav
[2011.08.14 15:20:20 | 000,045,573 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ebert\userdiff.sav
[2011.08.13 12:18:30 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.08.11 07:19:55 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.08.10 20:36:43 | 000,002,383 | ---- | M] () -- C:\Dokumente und Einstellungen\Ebert\Desktop\Google Chrome.lnk
[2011.08.01 00:21:02 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Forderung der LOVEFILM Deutschland GmbH - Kundennummer 660870730300.msg
[2011.07.25 17:09:56 | 005,969,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.08.15 02:50:31 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\pxgwph.sys
[2011.08.15 00:44:38 | 771,280,896 | -HS- | C] () -- C:\hiberfil.sys
[2011.08.14 15:20:20 | 000,045,573 | -H-- | C] () -- C:\Dokumente und Einstellungen\Ebert\userdiff.sav
[2011.08.13 17:48:38 | 000,045,573 | -H-- | C] () -- C:\WINDOWS\System32\userdiff.sav
[2011.08.01 00:21:01 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Forderung der LOVEFILM Deutschland GmbH - Kundennummer 660870730300.msg
[2011.04.25 22:52:19 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011.04.15 01:00:04 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2011.04.15 00:47:32 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll
[2011.04.13 19:02:49 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2011.04.13 19:02:48 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2011.04.13 19:02:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2011.04.13 19:02:44 | 000,266,240 | ---- | C] () -- C:\WINDOWS\CMIUninstall.exe
[2011.04.13 19:02:44 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2011.04.09 12:26:49 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.09 12:25:40 | 000,189,792 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.09 11:39:47 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.09 11:34:13 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,320,094 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,314,508 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,049,174 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,040,836 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.06.24 00:59:46 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.06.24 00:59:02 | 000,004,519 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011.08.07 15:11:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\CCS64
[2011.04.23 09:58:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\FinalMediaPlayer
[2011.04.22 00:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\gtk-2.0
[2011.08.15 01:05:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\QuickScan
[2011.08.07 15:22:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\ScummVM
[2011.08.15 02:21:02 | 000,000,370 | ---- | M] () -- C:\WINDOWS\Tasks\Final Media Player Update Checker.job
 
========== Purity Check ==========
 
< End of report >

OTL Extras

Code:

ATTFilter

OTL Extras logfile created on: 15.08.2011 02:57:35 - Run 1
OTL by OldTimer - Version 3.2.26.3     Folder = C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
735,48 Mb Total Physical Memory | 310,43 Mb Available Physical Memory | 42,21% Memory free
1,76 Gb Paging File | 1,43 Gb Available in Paging File | 81,37% Paging File free
Paging file location(s): C:\pagefile.sys 1104 2208 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 24,41 Gb Free Space | 65,51% Space Free | Partition Type: NTFS
 
Computer Name: EBERT-87B874AAF | User Name: Ebert | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\igfxcf32.exe" = C:\WINDOWS\system32\igfxcf32.exe:*:Enabled:xLAN
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FinalMediaPlayer\FMPCheckForUpdates.exe" = C:\Programme\FinalMediaPlayer\FMPCheckForUpdates.exe:*:Enabled:Final Media Player Update Checker -- (Bitberry Software)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth
"C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth
"C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe" = C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe:*:Enabled:Microsoft® Windows Security -- ()
"C:\WINDOWS\system32\igfxcf32.exe" = C:\WINDOWS\system32\igfxcf32.exe:*:Enabled:xLAN
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0ACE36CD-64F0-4828-A8E9-86B4916D6BD5}" = CIB pdf brewer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 26
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser
"{AA721D14-CFE2-410E-B975-79FE5F82F99F}" = MSVCMergeModules
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}" = CCS64 V3.7
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"FinalMediaPlayer_is1" = Final Media Player 2011
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"ReOrganize_is1" = ReOrganize!
"ScummVM_is1" = ScummVM 1.3.1
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 20.06.2011 11:55:15 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1004) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 21.06.2011 05:20:13 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1008) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 22.06.2011 03:05:52 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1004) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 22.06.2011 08:22:36 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1008) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 23.06.2011 06:28:37 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1008) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 24.06.2011 03:00:24 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1004) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 25.06.2011 19:50:05 | Computer Name = EBERT-87B874AAF | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.06.2011 05:05:13 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1004) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 28.06.2011 14:12:57 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1008) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 30.06.2011 15:45:00 | Computer Name = EBERT-87B874AAF | Source = ESENT | ID = 490
Description = svchost (1008) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
[ System Events ]
Error - 14.08.2011 18:03:21 | Computer Name = EBERT-87B874AAF | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 14.08.2011 18:03:21 | Computer Name = EBERT-87B874AAF | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 14.08.2011 18:03:21 | Computer Name = EBERT-87B874AAF | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 14.08.2011 18:03:21 | Computer Name = EBERT-87B874AAF | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK7  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip
 
Error - 14.08.2011 18:42:51 | Computer Name = EBERT-87B874AAF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 14.08.2011 18:42:51 | Computer Name = EBERT-87B874AAF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 14.08.2011 18:43:03 | Computer Name = EBERT-87B874AAF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 14.08.2011 18:43:03 | Computer Name = EBERT-87B874AAF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 14.08.2011 18:43:16 | Computer Name = EBERT-87B874AAF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 14.08.2011 18:44:02 | Computer Name = EBERT-87B874AAF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
 
< End of report >

gmer Log

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-15 23:59:55
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST340014A rev.3.06
Running: epqfclhh.exe; Driver: C:\DOKUME~1\Ebert\LOKALE~1\Temp\kxwcrpob.sys


---- System - GMER 1.0.15 ----

SSDT            F7EE410C                  ZwClose
SSDT            F7EE40C6                  ZwCreateKey
SSDT            F7EE4116                  ZwCreateSection
SSDT            F7EE40BC                  ZwCreateThread
SSDT            F7EE40CB                  ZwDeleteKey
SSDT            F7EE40D5                  ZwDeleteValueKey
SSDT            F7EE4107                  ZwDuplicateObject
SSDT            F7EE40DA                  ZwLoadKey
SSDT            F7EE40A8                  ZwOpenProcess
SSDT            F7EE40AD                  ZwOpenThread
SSDT            F7EE40E4                  ZwReplaceKey
SSDT            F7EE40DF                  ZwRestoreKey
SSDT            F7EE411B                  ZwSetContextThread
SSDT            F7EE40D0                  ZwSetValueKey
SSDT            F7EE40B7                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               wstdxsvl.sys              Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

last but not least ccleaner

Code:

ATTFilter

Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	16.08.2011		10.2.159.1
Adobe Reader X (10.1.0) - Deutsch	Adobe Systems Incorporated	17.06.2011	166,8MB	10.1.0
Avira AntiVir Personal - Free Antivirus	Avira GmbH	16.08.2011		10.2.0.700
CCleaner	Piriform	16.08.2011		3.09
CCS64 V3.7	Computerbrains C.C.S.	07.08.2011	2,98MB	1.0.0
CIB pdf brewer	CIB software GmbH	01.06.2011	38,5MB	2.6.0044
Final Media Player 2011	Bitberry Software	22.04.2011		
Google Chrome	Google Inc.	19.05.2011		13.0.782.112
Java(TM) 6 Update 26	Oracle	17.04.2011	90,9MB	6.0.260
Malwarebytes' Anti-Malware Version 1.51.1.1800	Malwarebytes Corporation	15.08.2011		1.51.1.1800
Microsoft Compression Client Pack 1.0 for Windows XP	Microsoft Corporation	27.04.2011		1
Microsoft Office File Validation Add-In	Microsoft Corporation	29.06.2011	7,92MB	14.0.5130.5003
Microsoft Office Professional Edition 2003	Microsoft Corporation	11.08.2011	821MB	11.0.8173.0
Microsoft User-Mode Driver Framework Feature Pack 1.0	Microsoft Corporation	27.04.2011		
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	17.04.2011	9,64MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	12.04.2011	10,2MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	15.06.2011	10,2MB	9.0.30729.6161
MSVCMergeModules	Nav N Go Kft.	17.04.2011	1,60MB	1.0.0
MSXML 6.0 Parser	Microsoft Corporation	17.04.2011	1,54MB	6.10.1129.0
ReOrganize!	Oliver Frietsch	16.08.2011		2.3.1
ScummVM 1.3.1	The ScummVM Team	07.08.2011		
VIA Audio Driver Setup Program		16.08.2011		
Windows Genuine Advantage Validation Tool (KB892130)	Microsoft Corporation	12.04.2011		
Windows Internet Explorer 8	Microsoft Corporation	12.04.2011		20090308.140743
Windows Media Format 11 runtime		16.08.2011		
Windows XP Service Pack 3	Microsoft Corporation	13.04.2011		20080414.031514

Ich habe schon xmal Malwarebytes und Avira mit jeweils komplett Überprüfungen laufen lassen (getrennt voneinander, nachdem ich das jeweils andere Programm deinstalliert hatte), kann auch jede Menge Dateien in die Quarantäne verschieben, bekomme aber trotzdem jedesmal Meldungen über 2 neue Funde.

Gibt es eine zuverlässige Möglichkeit den Rechner von den Dingern zu befreien, ohne sofort den Rechner neu auszusetzen? (Da ich da leider nicht so fit bin, müsste ich damit nämlich meinen "kleinen Bruder" nerven

)

Hoffe auf positive Nachrichten.

Mit den besten Grüßen
Mike

cosinus · 17.08.2011, 10:58

Zitat:

Ich habe schon xmal Malwarebytes und Avira mit jeweils komplett Überprüfungen laufen lassen

Bitte ALLE Logs davon posten!!

ekiM · 17.08.2011, 16:40

Hey Arne,
vielen Dank, dass Du Dir Zeit für mein Problem nimmst.

Anbei die Logs von Avira:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. August 2011  18:00

Es wird nach 3379150 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Abgesicherter Modus
Benutzername   : Administrator
Computername   : EBERT-87B874AAF

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  21.07.2011 10:10:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9       90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 05:53:00
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 10:10:02
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 10:10:06
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 10:10:07
VBASE006.VDF   : 7.11.10.252     2048 Bytes  07.07.2011 10:10:07
VBASE007.VDF   : 7.11.10.253     2048 Bytes  07.07.2011 10:10:08
VBASE008.VDF   : 7.11.10.254     2048 Bytes  07.07.2011 10:10:10
VBASE009.VDF   : 7.11.10.255     2048 Bytes  07.07.2011 10:10:15
VBASE010.VDF   : 7.11.11.0       2048 Bytes  07.07.2011 10:10:15
VBASE011.VDF   : 7.11.11.1       2048 Bytes  07.07.2011 10:10:15
VBASE012.VDF   : 7.11.11.2       2048 Bytes  07.07.2011 10:10:16
VBASE013.VDF   : 7.11.11.75    688128 Bytes  12.07.2011 10:10:17
VBASE014.VDF   : 7.11.11.104   978944 Bytes  13.07.2011 10:10:21
VBASE015.VDF   : 7.11.11.137   655360 Bytes  14.07.2011 10:10:22
VBASE016.VDF   : 7.11.11.184   699392 Bytes  18.07.2011 15:07:43
VBASE017.VDF   : 7.11.11.214   414208 Bytes  19.07.2011 12:12:05
VBASE018.VDF   : 7.11.11.242   772096 Bytes  20.07.2011 10:02:22
VBASE019.VDF   : 7.11.12.3    1291776 Bytes  20.07.2011 12:35:21
VBASE020.VDF   : 7.11.12.30    844288 Bytes  21.07.2011 11:24:22
VBASE021.VDF   : 7.11.12.67    149504 Bytes  24.07.2011 15:54:08
VBASE022.VDF   : 7.11.12.93    195072 Bytes  25.07.2011 15:54:10
VBASE023.VDF   : 7.11.12.113   150528 Bytes  26.07.2011 15:54:11
VBASE024.VDF   : 7.11.12.152   182784 Bytes  28.07.2011 15:54:12
VBASE025.VDF   : 7.11.12.181   117760 Bytes  01.08.2011 15:54:13
VBASE026.VDF   : 7.11.12.205   148480 Bytes  03.08.2011 15:54:14
VBASE027.VDF   : 7.11.12.229   252928 Bytes  05.08.2011 15:54:15
VBASE028.VDF   : 7.11.12.243   134656 Bytes  08.08.2011 15:54:17
VBASE029.VDF   : 7.11.13.14    164864 Bytes  11.08.2011 15:54:18
VBASE030.VDF   : 7.11.13.40    250368 Bytes  15.08.2011 15:54:20
VBASE031.VDF   : 7.11.13.46     56832 Bytes  15.08.2011 15:54:20
Engineversion  : 8.2.6.30  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  21.04.2011 05:52:30
AESCRIPT.DLL   : 8.1.3.74     1622393 Bytes  15.08.2011 15:54:37
AESCN.DLL      : 8.1.7.2       127349 Bytes  21.04.2011 05:52:28
AESBX.DLL      : 8.2.1.34      323957 Bytes  21.07.2011 10:07:25
AERDL.DLL      : 8.1.9.13      639349 Bytes  21.07.2011 10:07:25
AEPACK.DLL     : 8.2.9.5       676214 Bytes  21.07.2011 10:07:23
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  15.08.2011 15:54:34
AEHEUR.DLL     : 8.1.2.153    3678584 Bytes  15.08.2011 15:54:34
AEHELP.DLL     : 8.1.17.7      254327 Bytes  15.08.2011 15:54:24
AEGEN.DLL      : 8.1.5.7       401778 Bytes  15.08.2011 15:54:23
AEEMU.DLL      : 8.1.3.0       393589 Bytes  21.04.2011 05:52:17
AECORE.DLL     : 8.1.22.4      196983 Bytes  21.07.2011 10:06:47
AEBB.DLL       : 8.1.1.0        53618 Bytes  21.04.2011 05:52:16
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10     174120 Bytes  21.07.2011 10:08:06
AVARKT.DLL     : 10.0.26.1     255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 15. August 2011  18:00

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B

Die Registry wurde durchsucht ( '382' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\28997a27e457374ef3\mrt.exe
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\28997a27e457374ef3\mrtstub.exe
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\10021.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\13296.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\16177.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\19003.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\38703.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\59381.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\84786.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\90435.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\tmp08.exe
  [FUND]      Ist das Trojanische Pferd TR/Gendal.kdv.318866
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\tmp12.exe
  [FUND]      Ist das Trojanische Pferd TR/Gendal.KD.318494.1
C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\tmp12.exe
  [FUND]      Ist das Trojanische Pferd TR/Gendal.KD.318494.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4daeeb71.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\tmp08.exe
  [FUND]      Ist das Trojanische Pferd TR/Gendal.kdv.318866
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5539c4d6.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\90435.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07a29e71.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\84786.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6168d1b7.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\59381.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2410fc96.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\38703.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5bf7cef7.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\19003.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '17b6e2bc.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\16177.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6bada2ef.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\13296.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46f68dbf.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Temp\10021.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f9cb622.qua' verschoben!
C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '330e9a53.qua' verschoben!


Ende des Suchlaufs: Montag, 15. August 2011  18:55
Benötigte Zeit: 47:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2536 Verzeichnisse wurden überprüft
 164719 Dateien wurden geprüft
     12 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     11 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 164705 Dateien ohne Befall
   2406 Archive wurden durchsucht
      2 Warnungen
     11 Hinweise

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. August 2011  20:25

Es wird nach 3379150 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : EBERT-87B874AAF

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  21.07.2011 10:10:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9       90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 05:53:00
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 10:10:02
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 10:10:06
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 10:10:07
VBASE006.VDF   : 7.11.10.252     2048 Bytes  07.07.2011 10:10:07
VBASE007.VDF   : 7.11.10.253     2048 Bytes  07.07.2011 10:10:08
VBASE008.VDF   : 7.11.10.254     2048 Bytes  07.07.2011 10:10:10
VBASE009.VDF   : 7.11.10.255     2048 Bytes  07.07.2011 10:10:15
VBASE010.VDF   : 7.11.11.0       2048 Bytes  07.07.2011 10:10:15
VBASE011.VDF   : 7.11.11.1       2048 Bytes  07.07.2011 10:10:15
VBASE012.VDF   : 7.11.11.2       2048 Bytes  07.07.2011 10:10:16
VBASE013.VDF   : 7.11.11.75    688128 Bytes  12.07.2011 10:10:17
VBASE014.VDF   : 7.11.11.104   978944 Bytes  13.07.2011 10:10:21
VBASE015.VDF   : 7.11.11.137   655360 Bytes  14.07.2011 10:10:22
VBASE016.VDF   : 7.11.11.184   699392 Bytes  18.07.2011 15:07:43
VBASE017.VDF   : 7.11.11.214   414208 Bytes  19.07.2011 12:12:05
VBASE018.VDF   : 7.11.11.242   772096 Bytes  20.07.2011 10:02:22
VBASE019.VDF   : 7.11.12.3    1291776 Bytes  20.07.2011 12:35:21
VBASE020.VDF   : 7.11.12.30    844288 Bytes  21.07.2011 11:24:22
VBASE021.VDF   : 7.11.12.67    149504 Bytes  24.07.2011 15:54:08
VBASE022.VDF   : 7.11.12.93    195072 Bytes  25.07.2011 15:54:10
VBASE023.VDF   : 7.11.12.113   150528 Bytes  26.07.2011 15:54:11
VBASE024.VDF   : 7.11.12.152   182784 Bytes  28.07.2011 15:54:12
VBASE025.VDF   : 7.11.12.181   117760 Bytes  01.08.2011 15:54:13
VBASE026.VDF   : 7.11.12.205   148480 Bytes  03.08.2011 15:54:14
VBASE027.VDF   : 7.11.12.229   252928 Bytes  05.08.2011 15:54:15
VBASE028.VDF   : 7.11.12.243   134656 Bytes  08.08.2011 15:54:17
VBASE029.VDF   : 7.11.13.14    164864 Bytes  11.08.2011 15:54:18
VBASE030.VDF   : 7.11.13.40    250368 Bytes  15.08.2011 15:54:20
VBASE031.VDF   : 7.11.13.46     56832 Bytes  15.08.2011 15:54:20
Engineversion  : 8.2.6.30  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  21.04.2011 05:52:30
AESCRIPT.DLL   : 8.1.3.74     1622393 Bytes  15.08.2011 15:54:37
AESCN.DLL      : 8.1.7.2       127349 Bytes  21.04.2011 05:52:28
AESBX.DLL      : 8.2.1.34      323957 Bytes  21.07.2011 10:07:25
AERDL.DLL      : 8.1.9.13      639349 Bytes  21.07.2011 10:07:25
AEPACK.DLL     : 8.2.9.5       676214 Bytes  21.07.2011 10:07:23
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  15.08.2011 15:54:34
AEHEUR.DLL     : 8.1.2.153    3678584 Bytes  15.08.2011 15:54:34
AEHELP.DLL     : 8.1.17.7      254327 Bytes  15.08.2011 15:54:24
AEGEN.DLL      : 8.1.5.7       401778 Bytes  15.08.2011 15:54:23
AEEMU.DLL      : 8.1.3.0       393589 Bytes  21.04.2011 05:52:17
AECORE.DLL     : 8.1.22.4      196983 Bytes  21.07.2011 10:06:47
AEBB.DLL       : 8.1.1.0        53618 Bytes  21.04.2011 05:52:16
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10     174120 Bytes  21.07.2011 10:08:06
AVARKT.DLL     : 10.0.26.1     255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 15. August 2011  20:25

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'imapi.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '382' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\System Volume Information\_restore{AF540FF7-F649-45BA-BF40-F718A0265441}\RP99\A0014466.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{AF540FF7-F649-45BA-BF40-F718A0265441}\RP99\A0014466.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b326c0.qua' verschoben!


Ende des Suchlaufs: Montag, 15. August 2011  22:31
Benötigte Zeit: 43:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2823 Verzeichnisse wurden überprüft
 172686 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 172685 Dateien ohne Befall
   2411 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 204812 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

und noch ein paar von MBAM:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.08.2011 20:58:42
mbam-log-2011-08-14 (20-58-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 193207
Laufzeit: 31 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Ebert\anwendungsdaten\msnsvconfig.txt (Malware.Trace) -> Quarantined and deleted successfully.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.08.2011 21:45:32
mbam-log-2011-08-14 (21-45-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 193170
Laufzeit: 28 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Ebert\anwendungsdaten\msnsvconfig.txt (Malware.Trace) -> Quarantined and deleted successfully.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.08.2011 22:34:29
mbam-log-2011-08-14 (22-34-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 193164
Laufzeit: 28 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7467

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.08.2011 02:49:26
mbam-log-2011-08-15 (02-49-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|)
Durchsuchte Objekte: 193419
Laufzeit: 26 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Ebert\lokale einstellungen\Temp\5078278.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Ebert\anwendungsdaten\msnsvconfig.txt (Malware.Trace) -> Delete on reboot.

Vorab nochmals vielen Dank für Deine Mühe.

Viele Grüße
Mike

cosinus · 17.08.2011, 21:12

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ekiM · 17.08.2011, 22:37

Hey hier bin ich wieder :-)

Hier die Ergebnisse des ESET Scans:

Code:

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=ddc6cd35e5bb044a89db274916dc0c2f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-17 09:32:12
# local_time=2011-08-17 11:32:12 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 190458 50146189 183380 0
# compatibility_mode=8192 67108863 100 0 408 408 0 0
# scanned=28999
# found=0
# cleaned=0
# scan_time=2409

Viele Grüße
Mike

cosinus · 17.08.2011, 23:03

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ekiM · 17.08.2011, 23:25

So hier dann das aktuelle OTL Log:

Code:

ATTFilter

OTL logfile created on: 18.08.2011 00:09:18 - Run 3
OTL by OldTimer - Version 3.2.26.3     Folder = C:\Dokumente und Einstellungen\Ebert\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
735,48 Mb Total Physical Memory | 383,50 Mb Available Physical Memory | 52,14% Memory free
1,76 Gb Paging File | 1,44 Gb Available in Paging File | 81,69% Paging File free
Paging file location(s): C:\pagefile.sys 1104 2208 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 23,97 Gb Free Space | 64,33% Space Free | Partition Type: NTFS
 
Computer Name: EBERT-87B874AAF | User Name: Ebert | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Ebert\Desktop\OTL (2).exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Ebert\Desktop\OTL (2).exe (OldTimer Tools)
MOD - C:\Programme\Avira\AntiVir Desktop\aescript.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aeheur.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aeoffice.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aehelp.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aegen.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\rcimage.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccupdw.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccupdate.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccmsg.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\cclic.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccguard.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccgen.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avpref.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avevtlog.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avgio.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aerdl.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aesbx.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aepack.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aecore.dll (Avira GmbH)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbamnet.dll (Malwarebytes Corporation)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbam.dll (Malwarebytes Corporation)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll (Malwarebytes Corporation)
MOD - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.dll (Adobe Systems, Inc.)
MOD - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\schedr.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\guardmsg.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccupdrc.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccmainrc.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccmsgrc.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\cclicrc.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccgenrc.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccgrdrc.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\shlext.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\unacev2.dll (ACE Compression Software)
MOD - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\ccwkrlib.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\cfglib.dll (Avira GmbH)
MOD - c:\Programme\Avira\AntiVir Desktop\ccgrdw.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avsmtp.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\avipc.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aevdf.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aescn.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aeemu.dll (Avira GmbH)
MOD - C:\Programme\Avira\AntiVir Desktop\aebb.dll (Avira GmbH)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.6161_x-ww_028bc148\mfc90u.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.6161_x-ww_31a54e43\msvcr90.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.6161_x-ww_31a54e43\msvcp90.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.6161_x-ww_730c3508\mfc90deu.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\spool\prtprocs\w32x86\CIBpdfPP.dll (CIB software GmbH, München)
MOD - C:\Programme\CIB software GmbH\CIB pdf brewer\CIBpdfBrContextMenu.dll (CIB software GmbH, München)
MOD - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mfc42u.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6002.22509_x-ww_c7dad023\GdiPlus.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\System\MSMAPI\1031\MSMAPI32.DLL (Microsoft Corporation)
MOD - C:\Programme\Avira\AntiVir Desktop\libdb44.dll (Sleepycat Software)
MOD - C:\WINDOWS\system32\wups2.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\wuapi.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mscms.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msdtcprx.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msdtcuiu.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\wbem\wmiaprpl.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\sti.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\shfolder.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfctrs.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfproc.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfnet.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\loadperf.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\browselc.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mdimon.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\PortableDeviceApi.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\PortableDeviceTypes.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mfc42loc.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\traffic.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\utildll.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\rasctrs.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\perfts.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\pschdprf.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\rsvpperf.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\tapiperf.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudio.sys (VIA Technologies, Inc.)
DRV - (DrvAgent32) -- C:\WINDOWS\system32\drivers\DrvAgent32.sys (Phoenix Technologies)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (S3SavageNB) -- C:\WINDOWS\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
 
 
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Microsoft® Windows Security]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1302627512284 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.09 11:37:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
SafeBootMin: AppMgmt -  File not found
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: AppMgmt -  File not found
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.17 22:45:18 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.08.17 22:45:03 | 002,322,184 | ---- | C] (ESET) -- C:\Dokumente und Einstellungen\Ebert\Desktop\esetsmartinstaller_enu.exe
[2011.08.17 17:17:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Avira
[2011.08.16 00:08:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner
[2011.08.16 00:08:29 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2011.08.16 00:07:12 | 003,447,576 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Ebert\Desktop\ccsetup309.exe
[2011.08.15 23:12:15 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ebert\Desktop\OTL (2).exe
[2011.08.15 17:52:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2011.08.15 17:51:56 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2011.08.15 17:51:51 | 000,138,192 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.08.15 17:51:51 | 000,066,616 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011.08.15 17:51:51 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2011.08.15 17:51:51 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2011.08.15 17:51:49 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2011.08.15 17:51:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2011.08.15 02:03:22 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.08.15 02:03:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.08.15 02:03:18 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.08.15 02:03:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.08.15 01:45:27 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2011.08.15 01:22:33 | 000,000,000 | ---D | C] -- C:\Programme\Common Files
[2011.08.15 00:58:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\QuickScan
[2011.08.14 16:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Malwarebytes
[2011.08.14 16:07:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.08.14 13:59:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.08.13 00:14:26 | 000,000,000 | RHSD | C] -- C:\Dokumente und Einstellungen\Ebert\M-1-54-6324-575-5275
[2011.08.07 15:22:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\ScummVM
[2011.08.07 15:22:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ScummVM
[2011.08.07 15:22:23 | 000,000,000 | ---D | C] -- C:\Programme\ScummVM
[2011.08.07 15:12:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Spiele
[2011.08.07 15:11:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Startmenü\Programme\Computerbrains
[2011.08.07 15:11:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\CCS64
[2011.08.07 15:11:31 | 000,000,000 | ---D | C] -- C:\Programme\Computerbrains C.C.S
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.17 23:29:03 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004Core.job
[2011.08.17 23:29:02 | 000,001,210 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004UA.job
[2011.08.17 22:45:12 | 002,322,184 | ---- | M] (ESET) -- C:\Dokumente und Einstellungen\Ebert\Desktop\esetsmartinstaller_enu.exe
[2011.08.17 17:11:44 | 000,000,370 | ---- | M] () -- C:\WINDOWS\tasks\Final Media Player Update Checker.job
[2011.08.17 17:11:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.08.17 17:11:35 | 771,280,896 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.16 00:08:31 | 000,000,673 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2011.08.16 00:07:33 | 003,447,576 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Ebert\Desktop\ccsetup309.exe
[2011.08.15 23:28:11 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Ebert\Desktop\epqfclhh.exe
[2011.08.15 23:12:05 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ebert\Desktop\OTL (2).exe
[2011.08.15 23:09:20 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Ebert\defogger_reenable
[2011.08.15 17:52:21 | 000,001,690 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2011.08.14 15:20:20 | 000,045,573 | -H-- | M] () -- C:\WINDOWS\System32\userdiff.sav
[2011.08.14 15:20:20 | 000,045,573 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ebert\userdiff.sav
[2011.08.13 12:18:30 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.08.11 07:19:55 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.08.10 20:36:43 | 000,002,383 | ---- | M] () -- C:\Dokumente und Einstellungen\Ebert\Desktop\Google Chrome.lnk
[2011.08.01 00:21:02 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Forderung der LOVEFILM Deutschland GmbH - Kundennummer 660870730300.msg
[2011.07.21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.07.21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.08.16 00:08:31 | 000,000,673 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2011.08.15 23:28:14 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Ebert\Desktop\epqfclhh.exe
[2011.08.15 23:09:20 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Ebert\defogger_reenable
[2011.08.15 20:22:36 | 771,280,896 | -HS- | C] () -- C:\hiberfil.sys
[2011.08.15 17:52:21 | 000,001,690 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2011.08.14 15:20:20 | 000,045,573 | -H-- | C] () -- C:\Dokumente und Einstellungen\Ebert\userdiff.sav
[2011.08.13 17:48:38 | 000,045,573 | -H-- | C] () -- C:\WINDOWS\System32\userdiff.sav
[2011.08.01 00:21:01 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Ebert\Eigene Dateien\Forderung der LOVEFILM Deutschland GmbH - Kundennummer 660870730300.msg
[2011.04.25 22:52:19 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011.04.15 01:00:04 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2011.04.15 00:47:32 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll
[2011.04.13 19:02:49 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2011.04.13 19:02:48 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2011.04.13 19:02:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2011.04.13 19:02:44 | 000,266,240 | ---- | C] () -- C:\WINDOWS\CMIUninstall.exe
[2011.04.13 19:02:44 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2011.04.09 12:26:49 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.09 12:25:40 | 000,189,792 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.09 11:39:47 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.09 11:34:13 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,320,094 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,314,508 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,049,174 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,040,836 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.06.24 00:59:46 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.06.24 00:59:02 | 000,004,519 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011.08.07 15:11:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\CCS64
[2011.04.23 09:58:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\FinalMediaPlayer
[2011.04.22 00:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\gtk-2.0
[2011.08.15 01:05:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\QuickScan
[2011.08.07 15:22:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\ScummVM
[2011.08.17 17:11:44 | 000,000,370 | ---- | M] () -- C:\WINDOWS\Tasks\Final Media Player Update Checker.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.04.12 19:26:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Adobe
[2011.08.17 17:17:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Avira
[2011.08.07 15:11:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\CCS64
[2011.04.15 00:46:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Download Manager
[2011.04.23 09:58:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\FinalMediaPlayer
[2011.04.22 00:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\gtk-2.0
[2011.04.09 11:42:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Identities
[2011.04.13 07:49:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Macromedia
[2011.08.14 16:08:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Malwarebytes
[2011.08.07 15:11:35 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft
[2011.04.17 14:56:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Mozilla
[2011.08.15 01:05:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\QuickScan
[2011.08.07 15:22:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\ScummVM
[2011.04.17 15:13:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Sun
 
< %APPDATA%\*.exe /s >
[2011.04.13 07:50:20 | 002,872,992 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
[2011.08.07 15:11:35 | 000,002,238 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_21F3885A18D238E15AAE81.exe
[2011.08.07 15:11:35 | 000,025,214 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_4059D1591F51FB6F24B35F.exe
[2011.08.07 15:11:35 | 000,002,238 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_6FEFF9B68218417F98F549.exe
[2011.08.07 15:11:35 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_9D0070542EA4C5915F0A27.exe
[2011.08.07 15:11:35 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_C54C164ED7700B3B5A184E.exe
[2011.08.07 15:11:35 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_CD263F6A01620239275535.exe
[2011.08.07 15:11:35 | 000,025,214 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_D707CE1C009F1381803C2C.exe
[2011.08.07 15:11:35 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Ebert\Anwendungsdaten\Microsoft\Installer\{B7B5A370-3DFF-4F0E-AE11-FD267C4938AA}\_F3451BA4D1AB05D0C53123.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2011.04.14 01:15:40 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2011.04.14 01:15:40 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2011.04.14 01:15:40 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2011.04.14 01:15:40 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2011.04.09 13:24:51 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2011.04.09 13:24:51 | 000,638,976 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2011.04.09 13:24:51 | 000,421,888 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[5 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >

Viele Grüße
Mike

cosinus · 17.08.2011, 23:39

Bislang alles recht unauffällig - noch Probleme oder Funde?

ekiM · 18.08.2011, 07:47

Hallo und einen schönen guten Morgen Arne

also "merkwürdigerweise" hab ich gestern Abend und auch jetzt gerade beim Hochfahren schon keine Meldungen mehr nach den Systemstart von MBAM bzw. Avira bekommen. Auch die letzten Prüfungen von MBAM von gestern Nacht vor dem schlafen gehen bzw. Avira von grade eben haben soweit ich das sehen kann nix ergeben (Logs anbei).
Kann das bereits mit den Schritten die ich, dank Deiner perfekten Anleitung

, ausgeführt habe zusammen hängen?
Oder ist da noch irgendwo "tiefer" was im System versteckt?

Hier auf jeden Fall die beiden Logs:

MBAM

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7487

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.08.2011 01:10:50
mbam-log-2011-08-18 (01-10-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|)
Durchsuchte Objekte: 194340
Laufzeit: 28 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

kurze Frage hierzu: Ist das eigentlich normal, dass der vollständige Suchlauf mal erst nach über 40 Minuten und mal in 26 beendet ist?

Avira:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 18. August 2011  07:41

Es wird nach 3379150 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : EBERT-87B874AAF

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  21.07.2011 10:10:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9       90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 05:53:00
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 10:10:02
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 10:10:06
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 10:10:07
VBASE006.VDF   : 7.11.10.252     2048 Bytes  07.07.2011 10:10:07
VBASE007.VDF   : 7.11.10.253     2048 Bytes  07.07.2011 10:10:08
VBASE008.VDF   : 7.11.10.254     2048 Bytes  07.07.2011 10:10:10
VBASE009.VDF   : 7.11.10.255     2048 Bytes  07.07.2011 10:10:15
VBASE010.VDF   : 7.11.11.0       2048 Bytes  07.07.2011 10:10:15
VBASE011.VDF   : 7.11.11.1       2048 Bytes  07.07.2011 10:10:15
VBASE012.VDF   : 7.11.11.2       2048 Bytes  07.07.2011 10:10:16
VBASE013.VDF   : 7.11.11.75    688128 Bytes  12.07.2011 10:10:17
VBASE014.VDF   : 7.11.11.104   978944 Bytes  13.07.2011 10:10:21
VBASE015.VDF   : 7.11.11.137   655360 Bytes  14.07.2011 10:10:22
VBASE016.VDF   : 7.11.11.184   699392 Bytes  18.07.2011 15:07:43
VBASE017.VDF   : 7.11.11.214   414208 Bytes  19.07.2011 12:12:05
VBASE018.VDF   : 7.11.11.242   772096 Bytes  20.07.2011 10:02:22
VBASE019.VDF   : 7.11.12.3    1291776 Bytes  20.07.2011 12:35:21
VBASE020.VDF   : 7.11.12.30    844288 Bytes  21.07.2011 11:24:22
VBASE021.VDF   : 7.11.12.67    149504 Bytes  24.07.2011 15:54:08
VBASE022.VDF   : 7.11.12.93    195072 Bytes  25.07.2011 15:54:10
VBASE023.VDF   : 7.11.12.113   150528 Bytes  26.07.2011 15:54:11
VBASE024.VDF   : 7.11.12.152   182784 Bytes  28.07.2011 15:54:12
VBASE025.VDF   : 7.11.12.181   117760 Bytes  01.08.2011 15:54:13
VBASE026.VDF   : 7.11.12.205   148480 Bytes  03.08.2011 15:54:14
VBASE027.VDF   : 7.11.12.229   252928 Bytes  05.08.2011 15:54:15
VBASE028.VDF   : 7.11.12.243   134656 Bytes  08.08.2011 15:54:17
VBASE029.VDF   : 7.11.13.14    164864 Bytes  11.08.2011 15:54:18
VBASE030.VDF   : 7.11.13.40    250368 Bytes  15.08.2011 15:54:20
VBASE031.VDF   : 7.11.13.46     56832 Bytes  15.08.2011 15:54:20
Engineversion  : 8.2.6.30  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  21.04.2011 05:52:30
AESCRIPT.DLL   : 8.1.3.74     1622393 Bytes  15.08.2011 15:54:37
AESCN.DLL      : 8.1.7.2       127349 Bytes  21.04.2011 05:52:28
AESBX.DLL      : 8.2.1.34      323957 Bytes  21.07.2011 10:07:25
AERDL.DLL      : 8.1.9.13      639349 Bytes  21.07.2011 10:07:25
AEPACK.DLL     : 8.2.9.5       676214 Bytes  21.07.2011 10:07:23
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  15.08.2011 15:54:34
AEHEUR.DLL     : 8.1.2.153    3678584 Bytes  15.08.2011 15:54:34
AEHELP.DLL     : 8.1.17.7      254327 Bytes  15.08.2011 15:54:24
AEGEN.DLL      : 8.1.5.7       401778 Bytes  15.08.2011 15:54:23
AEEMU.DLL      : 8.1.3.0       393589 Bytes  21.04.2011 05:52:17
AECORE.DLL     : 8.1.22.4      196983 Bytes  21.07.2011 10:06:47
AEBB.DLL       : 8.1.1.0        53618 Bytes  21.04.2011 05:52:16
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10     174120 Bytes  21.07.2011 10:08:06
AVARKT.DLL     : 10.0.26.1     255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 18. August 2011  07:41

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'imapi.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '381' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>


Ende des Suchlaufs: Donnerstag, 18. August 2011  08:23
Benötigte Zeit: 41:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2851 Verzeichnisse wurden überprüft
 172940 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 172940 Dateien ohne Befall
   2457 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 205330 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Noch irgendwas, was ich als nächstes Unternehmen kann?

Viele Grüße
Mike

cosinus · 18.08.2011, 11:15

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ekiM · 18.08.2011, 17:40

Hallo Arne,

so hat alles geklappt. Anbei das Ergebnis von CoFi:

Code:

ATTFilter

ComboFix 11-08-18.02 - Ebert 18.08.2011  18:28:16.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.735.476 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ebert\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ebert\userdiff.sav
c:\windows\IsUn0407.exe
c:\windows\system32\userdiff.sav
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-18 bis 2011-08-18  ))))))))))))))))))))))))))))))
.
.
2011-08-17 20:45 . 2011-08-17 20:45	--------	d-----w-	c:\programme\ESET
2011-08-17 15:17 . 2011-08-17 15:17	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\Avira
2011-08-15 22:08 . 2011-08-15 22:08	--------	d-----w-	c:\programme\CCleaner
2011-08-15 15:51 . 2011-07-21 10:11	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-08-15 15:51 . 2011-07-21 10:11	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-08-15 15:51 . 2009-09-29 16:12	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-08-15 15:51 . 2009-09-29 16:12	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-08-15 15:51 . 2011-08-15 15:51	--------	d-----w-	c:\programme\Avira
2011-08-15 15:51 . 2011-08-15 15:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-08-15 00:03 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-15 00:03 . 2011-08-15 00:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-08-15 00:03 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-14 23:45 . 2011-08-14 23:57	--------	d-----w-	c:\programme\Panda Security
2011-08-14 23:22 . 2011-08-14 23:22	--------	d-----w-	c:\programme\Common Files
2011-08-14 22:58 . 2011-08-14 23:05	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\QuickScan
2011-08-14 14:56 . 2011-08-14 22:43	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2011-08-14 14:08 . 2011-08-14 14:08	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\Malwarebytes
2011-08-14 14:07 . 2011-08-14 14:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-14 12:18 . 2011-08-14 12:18	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2011-08-14 11:59 . 2011-08-14 11:59	--------	d--h--w-	c:\windows\PIF
2011-08-12 22:14 . 2011-08-15 16:55	--------	d-sh--r-	c:\dokumente und einstellungen\Ebert\M-1-54-6324-575-5275
2011-08-10 06:57 . 2011-06-24 14:10	139656	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2011-08-10 06:54 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2011-08-07 13:22 . 2011-08-07 13:22	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\ScummVM
2011-08-07 13:22 . 2011-08-07 13:32	--------	d-----w-	c:\programme\ScummVM
2011-08-07 13:11 . 2011-08-07 13:11	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\CCS64
2011-08-07 13:11 . 2011-08-07 13:11	--------	d-----w-	c:\programme\Computerbrains C.C.S
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-15 13:29 . 2004-08-04 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2004-08-04 12:00	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-06-24 14:10 . 2011-04-09 09:32	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-06-23 18:31 . 2004-08-04 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-06-23 12:05 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2004-08-04 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2004-08-04 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FinalMediaPlayer\\FMPCheckForUpdates.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.08.2011 17:51 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [15.08.2011 02:03 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [15.08.2011 02:03 22712]
S3 DrvAgent32;DrvAgent32;c:\windows\system32\drivers\DrvAgent32.sys [14.04.2011 22:55 23456]
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-18 c:\windows\Tasks\Final Media Player Update Checker.job
- c:\programme\FinalMediaPlayer\FMPCheckForUpdates.exe [2011-04-22 14:50]
.
2011-08-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004Core.job
- c:\dokumente und einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-05-18 23:19]
.
2011-08-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004UA.job
- c:\dokumente und einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-05-18 23:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Microsoft® Windows Security - c:\dokumente und einstellungen\Ebert\M-1-54-6324-575-5275\winsvc.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-18 18:33
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f3,f8,4b,96,7f,4f,90,41,a8,ba,45,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f3,f8,4b,96,7f,4f,90,41,a8,ba,45,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2011-08-18  18:35:16
ComboFix-quarantined-files.txt  2011-08-18 16:35
.
Vor Suchlauf: 6 Verzeichnis(se), 25.630.269.440 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 25.789.829.120 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - F976396E95AE78F9981E9C27D7F476EA

Viele Grüße
Mike

cosinus · 19.08.2011, 15:12

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
c:\dokumente und einstellungen\Ebert\M-1-54-6324-575-5275

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ekiM · 19.08.2011, 15:45

Hall Arne,

anbei der neueste Log

Code:

ATTFilter

ComboFix 11-08-18.03 - Ebert 19.08.2011  16:26:46.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.735.464 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ebert\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Ebert\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ebert\M-1-54-6324-575-5275
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-19 bis 2011-08-19  ))))))))))))))))))))))))))))))
.
.
2011-08-17 20:45 . 2011-08-17 20:45	--------	d-----w-	c:\programme\ESET
2011-08-17 15:17 . 2011-08-17 15:17	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\Avira
2011-08-15 22:08 . 2011-08-15 22:08	--------	d-----w-	c:\programme\CCleaner
2011-08-15 15:51 . 2011-07-21 10:11	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-08-15 15:51 . 2011-07-21 10:11	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-08-15 15:51 . 2009-09-29 16:12	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-08-15 15:51 . 2009-09-29 16:12	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-08-15 15:51 . 2011-08-15 15:51	--------	d-----w-	c:\programme\Avira
2011-08-15 15:51 . 2011-08-15 15:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-08-15 00:03 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-15 00:03 . 2011-08-15 00:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-08-15 00:03 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-14 23:45 . 2011-08-14 23:57	--------	d-----w-	c:\programme\Panda Security
2011-08-14 23:22 . 2011-08-14 23:22	--------	d-----w-	c:\programme\Common Files
2011-08-14 22:58 . 2011-08-14 23:05	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\QuickScan
2011-08-14 14:56 . 2011-08-14 22:43	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2011-08-14 14:08 . 2011-08-14 14:08	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\Malwarebytes
2011-08-14 14:07 . 2011-08-14 14:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-14 12:18 . 2011-08-14 12:18	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2011-08-14 11:59 . 2011-08-14 11:59	--------	d--h--w-	c:\windows\PIF
2011-08-10 06:57 . 2011-06-24 14:10	139656	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2011-08-10 06:54 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2011-08-07 13:22 . 2011-08-07 13:22	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\ScummVM
2011-08-07 13:22 . 2011-08-07 13:32	--------	d-----w-	c:\programme\ScummVM
2011-08-07 13:11 . 2011-08-07 13:11	--------	d-----w-	c:\dokumente und einstellungen\Ebert\Anwendungsdaten\CCS64
2011-08-07 13:11 . 2011-08-07 13:11	--------	d-----w-	c:\programme\Computerbrains C.C.S
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-15 13:29 . 2004-08-04 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2004-08-04 12:00	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-06-24 14:10 . 2011-04-09 09:32	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-06-23 18:31 . 2004-08-04 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-06-23 12:05 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2004-08-04 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2004-08-04 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-08-18_16.33.09   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-08-19 13:44 . 2011-08-19 13:44	16384              c:\windows\Temp\Perflib_Perfdata_7f8.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FinalMediaPlayer\\FMPCheckForUpdates.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.08.2011 17:51 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [15.08.2011 02:03 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [15.08.2011 02:03 22712]
S3 DrvAgent32;DrvAgent32;c:\windows\system32\drivers\DrvAgent32.sys [14.04.2011 22:55 23456]
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-19 c:\windows\Tasks\Final Media Player Update Checker.job
- c:\programme\FinalMediaPlayer\FMPCheckForUpdates.exe [2011-04-22 14:50]
.
2011-08-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004Core.job
- c:\dokumente und einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-05-18 23:19]
.
2011-08-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004UA.job
- c:\dokumente und einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-05-18 23:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-19 16:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f3,f8,4b,96,7f,4f,90,41,a8,ba,45,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f3,f8,4b,96,7f,4f,90,41,a8,ba,45,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3956)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-08-19  16:34:20
ComboFix-quarantined-files.txt  2011-08-19 14:34
ComboFix2.txt  2011-08-18 16:35
.
Vor Suchlauf: 6 Verzeichnis(se), 25.726.767.104 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 25.718.075.392 Bytes frei
.
- - End Of File - - 730B8C1982DFE81B41C6C3EC7B5325BD

Viele Grüße
Mike

cosinus · 19.08.2011, 17:51

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

ekiM · 20.08.2011, 13:07

Hallo Arne,

anbei die gewünschten Logs. Hoffe, ist alle so richtig gewesen:

GMER:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-20 05:50:06
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST340014A rev.3.06
Running: epqfclhh.exe; Driver: C:\DOKUME~1\Ebert\LOKALE~1\Temp\kxwcrpob.sys


---- System - GMER 1.0.15 ----

SSDT  F7E20604  ZwClose
SSDT  F7E205BE  ZwCreateKey
SSDT  F7E2060E  ZwCreateSection
SSDT  F7E205B4  ZwCreateThread
SSDT  F7E205C3  ZwDeleteKey
SSDT  F7E205CD  ZwDeleteValueKey
SSDT  F7E205FF  ZwDuplicateObject
SSDT  F7E205D2  ZwLoadKey
SSDT  F7E205A0  ZwOpenProcess
SSDT  F7E205A5  ZwOpenThread
SSDT  F7E205DC  ZwReplaceKey
SSDT  F7E205D7  ZwRestoreKey
SSDT  F7E20613  ZwSetContextThread
SSDT  F7E205C8  ZwSetValueKey
SSDT  F7E205AF  ZwTerminateProcess

---- EOF - GMER 1.0.15 ----

OSAM:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:15:52 on 20.08.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Google Inc. Google Chrome 0.0.0.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Final Media Player Update Checker.job" - "Bitberry Software" - C:\Programme\FinalMediaPlayer\FMPCheckForUpdates.exe
"GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-1606980848-789336058-725345543-1004UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\Ebert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Cmcpls" - ? - C:\WINDOWS\System\cmicnfg.cpl  (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"C-Media WDM Audio Interface" (cmuda) - ? - C:\WINDOWS\System32\drivers\cmuda.sys  (File not found)
"catchme" (catchme) - ? - C:\DOKUME~1\Ebert\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"DrvAgent32" (DrvAgent32) - "Phoenix Technologies" - C:\WINDOWS\system32\Drivers\DrvAgent32.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kxwcrpob" (kxwcrpob) - ? - C:\DOKUME~1\Ebert\LOKALE~1\Temp\kxwcrpob.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VIA AC'97 Audio Controller (WDM)" (VIAudio) - "VIA Technologies, Inc." - C:\WINDOWS\System32\drivers\viaudio.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Ebert\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - ? - C:\DOKUME~1\Ebert\EIGENE~1\DOWNLO~1\IMG044~1.SCR  (File not found)
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und noch aswMBR:

Code:

ATTFilter

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-20 13:21:53
-----------------------------
13:21:53.234    OS Version: Windows 5.1.2600 Service Pack 3
13:21:53.234    Number of processors: 1 586 0x801
13:21:53.234    ComputerName: EBERT-87B874AAF  UserName: Ebert
13:21:55.062    Initialize success
13:26:46.078    AVAST engine defs: 11082000
13:29:34.593    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
13:29:34.593    Disk 0 Vendor: ST340014A 3.06 Size: 38166MB BusType: 3
13:29:34.671    Disk 0 MBR read successfully
13:29:34.671    Disk 0 MBR scan
13:29:34.750    Disk 0 Windows XP default MBR code
13:29:34.812    Disk 0 scanning sectors +78140160
13:29:35.031    Disk 0 scanning C:\WINDOWS\system32\drivers
13:30:23.828    Service scanning
13:30:25.953    Modules scanning
13:31:02.281    Disk 0 trace - called modules:
13:31:02.312    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys 
13:31:02.312    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82bcaab8]
13:31:02.328    3 CLASSPNP.SYS[f780ffd7] -> nt!IofCallDriver -> \Device\00000056[0x82bd21a8]
13:31:02.828    5 ACPI.sys[f7785620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x82b8f940]
13:31:03.421    AVAST engine scan C:\WINDOWS
13:31:31.859    AVAST engine scan C:\WINDOWS\system32
13:38:41.203    AVAST engine scan C:\WINDOWS\system32\drivers
13:39:35.812    AVAST engine scan C:\Dokumente und Einstellungen\Ebert
13:47:48.140    AVAST engine scan C:\Dokumente und Einstellungen\All Users
13:48:10.890    Scan finished successfully
13:53:54.781    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Ebert\Desktop\MBR.dat"
13:53:54.796    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Ebert\Desktop\aswMBR.txt"

Viele Grüße
Mike

17.08.2011, 23:39	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Facebook Virus - als .jpg getarnte .scr Datei - vermutlich Virus? Bislang alles recht unauffällig - noch Probleme oder Funde? __________________ Logfiles bitte immer in CODE-Tags posten

Facebook Virus - als .jpg getarnte .scr Datei - vermutlich Virus?

Log-Analyse und Auswertung: Facebook Virus - als .jpg getarnte .scr Datei - vermutlich Virus?