Hallo,

ich habe seit gestern ein Trojaner-Problem. Bei einer Überprüfung durch AntiVir wurden die Trojaner TR/fakesysdef.506 und TR/gendal.a.6183 gefunden. Die wurden dann von mir in Quarantäne geschickt.

Danach hat mir AntiVir angeboten, auf die Version 2012 upzudaten, was ich auch getan habe. Leider gingen bei dieser Aktion die Quarantänedateien verloren, waren nicht mehr aufzufinden.
Ich hab danach nochmal den Avira suchen lassen, der aber nun nichts mehr gefunden hat.

Danach hab ich hier im Forum das Posting zum Trojaner fakesysdef.506 nachgelesen:

http://www.trojaner-board.de/103943-...beseitigt.html

Daher hab ich OTL, Eset und Malwarebytes suchen lassen.
Zusätzlich hab ich mir die unter diesem Posting angegebe website mir einer Anleitung zur Entfernung des Trojaners angesehen und nach diesen Enträgen in der Registry gesucht.

[Quelle: FakeSysdef: Falsches Festplatten-Reparaturprogramm infiziert Ihren Rechner: Computerwissen.de]:
"Die Infektion können Sie nur beseitigen, indem Sie Ihren Rechner neu starten und mit der Taste "F8" tatsächlich den Start im abgesicherten Modus veranlassen. Hier müssen Sie im Benutzerprofil "All Users" unter "Application Data" die Datei "aJnsgXnTGrqWD.DLL" löschen. Suchen Sie außerdem den zugehörigen Eintrag in der Registrierung über die Suchfunktion. Laut Microsoft befindet er sich unter "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" und ist hier mit dem Wert "AppSecDll" eingetragen. Löschen Sie den Pfad zu der schädlichen DLL-Datei.
Nach einem Neustart wird das Schadprogramm dann nicht mehr geladen. Sie müssen nun allerdings in der Registrierung noch den Eintrag "NoChangingWallPaper" unter "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop" löschen, um das Hintergrundbild, das Ihnen den abgesicherten Modus vorgaukelt, wieder auf einen normalen Hintergrund ändern zu können."

Dazu:
Habe keinen Ordner "Application Data" und keine Datei "aJnsgXnTGrqWD.DLL". In der Registry habe ich zwar den Eintrag "aJnsgXnTGrqWD.DLL" allerdigs nicht unter "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" sondern unter "HKCU\Software\Microsoft\SearchAssistant\ACMru\5603"; den Eintrag "NoChangingWallPaper" hab ich nicht gefunden.

Anschließend noch mal Eset. Avira hat dann heute morgen wieder den TR/gendal.a.6183 gefunden. Der ist jetzt in Quarantäne. Eine anschließende Überprüfung war dagegen anschließend negativ.

Malewarebytes hat dann aber nichts mehr gefunden (Logs alle angefügt).

Ist jetzt TR/gendal.a.6183 noch aktiv bzw. was kann ich dagegen machen?
Ich habe kaum Ahnung von der Materie, weshalb ich für Hilfe dankbar wäre.

Grüße!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Poste bitte auch alle Logs mit den Funden von AntiVir.

Nein, das sind die einzigen beiden Logs von malewarebytes. Das ältere hab ich nach dem ersten Fund gemacht, allerdings auch nach dem Update von Avira. Durch das Update von Avira habe ich die ursprünglichen Reports über die ersten beiden TR verloren (finde sie nicht mehr unter den Logfiles von Avira, die erst mit dem Update beginnen).
Den zweiten Log hab ich direkt nach dem letzten Fund des TR gemacht.

Kann ich irgendwo in den Tiefen meines Rechners noch die ursprünglichen Logs mit den Trojanern finden, oder wurden die durch das Update von AntiVir überschrieben bzw. gelöscht?

Angehängt alle weiteren Logs von AntiVir, auch das von dem Update, das wohl nicht ganz so schlau war.

Zitat:

PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)

PRC - C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)

PRC - C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)

ZoneAlarm ist kontraproduktiver Müll, bitte umgehend deinstallieren und die Windows-Firewall einschalten!

mach danach bitte ein OTL-Custom-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, hier ist das aktuelle Log von OTL.

Grüße!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
O4 - HKLM..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.09 20:07:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{06053733-f56e-11de-9e50-0014381935f6}\Shell - "" = AutoRun
O33 - MountPoints2\{06053733-f56e-11de-9e50-0014381935f6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{06053733-f56e-11de-9e50-0014381935f6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{06053e0a-f56e-11de-9e50-0014381935f6}\Shell - "" = AutoRun
O33 - MountPoints2\{06053e0a-f56e-11de-9e50-0014381935f6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{06053e0a-f56e-11de-9e50-0014381935f6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{5f9c000c-255e-11de-abfa-c6d8b9172bdc}\Shell\AutoRun\command - "" = G:\WEB~1.DEM\WEB~1.DEM\MESSENGR.EXE
[2011.10.16 21:35:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Application Data\ZA_PreservedFiles
[2010.08.30 13:59:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kathrin\Anwendungsdaten\CheckPoint
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo!

Hier endlich das Logfile.

Grüße!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo!
Hier das neue Log:

21:40:06.0406 3944 TDSS rootkit removing tool 2.6.11.0 Oct 19 2011 13:50:27
21:40:07.0906 3944 ============================================================
21:40:07.0906 3944 Current date / time: 2011/10/19 21:40:07.0906
21:40:07.0906 3944 SystemInfo:
21:40:07.0906 3944
21:40:07.0906 3944 OS Version: 5.1.2600 ServicePack: 3.0
21:40:07.0906 3944 Product type: Workstation
21:40:07.0906 3944 ComputerName: LAPTOPK
21:40:07.0906 3944 UserName: Kathrin
21:40:07.0906 3944 Windows directory: C:\WINDOWS
21:40:07.0906 3944 System windows directory: C:\WINDOWS
21:40:07.0906 3944 Processor architecture: Intel x86
21:40:07.0906 3944 Number of processors: 1
21:40:07.0906 3944 Page size: 0x1000
21:40:07.0906 3944 Boot type: Normal boot
21:40:07.0906 3944 ============================================================
21:40:14.0765 3944 Initialize success
21:41:45.0671 2660 ============================================================
21:41:45.0671 2660 Scan started
21:41:45.0671 2660 Mode: Manual; SigCheck; TDLFS;
21:41:45.0671 2660 ============================================================
21:41:46.0031 2660 Abiosdsk - ok
21:41:46.0093 2660 abp480n5 - ok
21:41:46.0187 2660 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
21:41:48.0796 2660 ACPI - ok
21:41:48.0906 2660 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
21:41:49.0156 2660 ACPIEC - ok
21:41:49.0250 2660 adpu160m - ok
21:41:49.0343 2660 aeaudio (ad707942e4ccb28d77cee5ed989c9e55) C:\WINDOWS\system32\drivers\aeaudio.sys
21:41:49.0390 2660 aeaudio - ok
21:41:49.0468 2660 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
21:41:49.0640 2660 aec - ok
21:41:49.0796 2660 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
21:41:49.0859 2660 AFD - ok
21:41:50.0046 2660 AgereSoftModem (593aefc67283d409f34cc1245d00a509) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
21:41:50.0281 2660 AgereSoftModem - ok
21:41:50.0375 2660 Aha154x - ok
21:41:50.0437 2660 aic78u2 - ok
21:41:50.0500 2660 aic78xx - ok
21:41:50.0562 2660 AliIde - ok
21:41:50.0687 2660 amsint - ok
21:41:50.0812 2660 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
21:41:51.0062 2660 Arp1394 - ok
21:41:51.0187 2660 asc - ok
21:41:51.0234 2660 asc3350p - ok
21:41:51.0296 2660 asc3550 - ok
21:41:51.0359 2660 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
21:41:51.0531 2660 AsyncMac - ok
21:41:51.0671 2660 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
21:41:51.0906 2660 atapi - ok
21:41:52.0046 2660 Atdisk - ok
21:41:52.0125 2660 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
21:41:52.0328 2660 Atmarpc - ok
21:41:52.0406 2660 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
21:41:52.0531 2660 audstub - ok
21:41:52.0703 2660 avgntflt (7713e4eb0276702faa08e52a6e23f2a6) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
21:41:52.0812 2660 avgntflt - ok
21:41:52.0921 2660 avipbb (912d23140cd05980f6cdae790ddafc8d) C:\WINDOWS\system32\DRIVERS\avipbb.sys
21:41:52.0953 2660 avipbb - ok
21:41:53.0000 2660 avkmgr (271cfd1a989209b1964e24d969552bf7) C:\WINDOWS\system32\DRIVERS\avkmgr.sys
21:41:53.0031 2660 avkmgr - ok
21:41:53.0125 2660 b57w2k (2dc524a5d9c4879e7a7cb7100a2d36b4) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
21:41:53.0218 2660 b57w2k - ok
21:41:53.0312 2660 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
21:41:53.0562 2660 Beep - ok
21:41:53.0781 2660 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
21:41:53.0968 2660 cbidf2k - ok
21:41:54.0046 2660 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
21:41:54.0359 2660 CCDECODE - ok
21:41:54.0421 2660 cd20xrnt - ok
21:41:54.0531 2660 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
21:41:54.0671 2660 Cdaudio - ok
21:41:54.0796 2660 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
21:41:54.0953 2660 Cdfs - ok
21:41:55.0031 2660 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
21:41:55.0218 2660 Cdrom - ok
21:41:55.0296 2660 Changer - ok
21:41:55.0359 2660 Clewkieeud - ok
21:41:55.0421 2660 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
21:41:55.0562 2660 CmBatt - ok
21:41:55.0718 2660 CmdIde - ok
21:41:55.0796 2660 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
21:41:56.0078 2660 Compbatt - ok
21:41:56.0171 2660 Cpqarray - ok
21:41:56.0265 2660 CtClsFlt (ada3fe4d1b92fd0877fb4837d9fd5199) C:\WINDOWS\system32\DRIVERS\CtClsFlt.sys
21:41:56.0359 2660 CtClsFlt - ok
21:41:56.0453 2660 dac2w2k - ok
21:41:56.0515 2660 dac960nt - ok
21:41:56.0593 2660 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
21:41:56.0859 2660 Disk - ok
21:41:57.0031 2660 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
21:41:57.0296 2660 dmboot - ok
21:41:57.0421 2660 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
21:41:57.0671 2660 dmio - ok
21:41:57.0765 2660 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
21:41:57.0890 2660 dmload - ok
21:41:57.0984 2660 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
21:41:58.0156 2660 DMusic - ok
21:41:58.0234 2660 dpti2o - ok
21:41:58.0312 2660 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
21:41:58.0468 2660 drmkaud - ok
21:41:58.0515 2660 eabfiltr - ok
21:41:58.0687 2660 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
21:41:58.0937 2660 Fastfat - ok
21:41:59.0046 2660 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
21:41:59.0203 2660 Fdc - ok
21:41:59.0265 2660 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
21:41:59.0390 2660 Fips - ok
21:41:59.0468 2660 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
21:41:59.0656 2660 Flpydisk - ok
21:41:59.0750 2660 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
21:41:59.0953 2660 FltMgr - ok
21:42:00.0109 2660 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
21:42:00.0359 2660 Fs_Rec - ok
21:42:00.0421 2660 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
21:42:00.0671 2660 Ftdisk - ok
21:42:00.0781 2660 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
21:42:00.0796 2660 GEARAspiWDM - ok
21:42:00.0890 2660 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
21:42:01.0031 2660 Gpc - ok
21:42:01.0140 2660 GTIPCI21 (b6b1f53f585b41091eb3586f8297a379) C:\WINDOWS\system32\DRIVERS\gtipci21.sys
21:42:01.0171 2660 GTIPCI21 - ok
21:42:01.0281 2660 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
21:42:01.0531 2660 HidUsb - ok
21:42:01.0671 2660 hpn - ok
21:42:01.0734 2660 HpqKbFiltr (35956140e686d53bf676cf0c778880fc) C:\WINDOWS\system32\DRIVERS\HpqKbFiltr.sys
21:42:01.0781 2660 HpqKbFiltr - ok
21:42:01.0906 2660 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
21:42:01.0968 2660 HTTP - ok
21:42:02.0093 2660 hwdatacard (07853191b1bdee5b39be4cfcfe3b9ad4) C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys
21:42:02.0234 2660 hwdatacard - ok
21:42:02.0296 2660 i2omgmt - ok
21:42:02.0359 2660 i2omp - ok
21:42:02.0437 2660 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
21:42:02.0687 2660 i8042prt - ok
21:42:02.0906 2660 ialm (9e52a1c2e2d7660612c52bc282259852) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
21:42:03.0140 2660 ialm - ok
21:42:03.0250 2660 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
21:42:03.0484 2660 Imapi - ok
21:42:03.0656 2660 ini910u - ok
21:42:03.0750 2660 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
21:42:03.0875 2660 IntelIde - ok
21:42:03.0953 2660 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
21:42:04.0062 2660 intelppm - ok
21:42:04.0140 2660 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
21:42:04.0359 2660 Ip6Fw - ok
21:42:04.0453 2660 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
21:42:04.0656 2660 IpFilterDriver - ok
21:42:04.0765 2660 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
21:42:05.0000 2660 IpInIp - ok
21:42:05.0093 2660 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
21:42:05.0343 2660 IpNat - ok
21:42:05.0437 2660 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
21:42:05.0562 2660 IPSec - ok
21:42:05.0703 2660 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys
21:42:05.0781 2660 irda - ok
21:42:05.0906 2660 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
21:42:06.0046 2660 IRENUM - ok
21:42:06.0140 2660 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
21:42:06.0296 2660 isapnp - ok
21:42:06.0390 2660 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
21:42:06.0531 2660 Kbdclass - ok
21:42:06.0656 2660 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
21:42:06.0796 2660 kbdhid - ok
21:42:06.0890 2660 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
21:42:07.0046 2660 kmixer - ok
21:42:07.0187 2660 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
21:42:07.0250 2660 KSecDD - ok
21:42:07.0312 2660 lbrtfdc - ok
21:42:07.0406 2660 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
21:42:07.0562 2660 mnmdd - ok
21:42:07.0703 2660 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
21:42:07.0890 2660 Modem - ok
21:42:08.0046 2660 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
21:42:08.0234 2660 Mouclass - ok
21:42:08.0437 2660 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
21:42:08.0718 2660 mouhid - ok
21:42:08.0828 2660 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
21:42:08.0968 2660 MountMgr - ok
21:42:09.0015 2660 mraid35x - ok
21:42:09.0078 2660 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
21:42:09.0203 2660 MRxDAV - ok
21:42:09.0312 2660 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
21:42:09.0421 2660 MRxSmb - ok
21:42:09.0562 2660 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
21:42:09.0750 2660 Msfs - ok
21:42:09.0843 2660 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
21:42:10.0078 2660 MSKSSRV - ok
21:42:10.0171 2660 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
21:42:10.0328 2660 MSPCLOCK - ok
21:42:10.0406 2660 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
21:42:10.0656 2660 MSPQM - ok
21:42:10.0765 2660 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
21:42:10.0906 2660 mssmbios - ok
21:42:11.0015 2660 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
21:42:11.0203 2660 MSTEE - ok
21:42:11.0312 2660 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
21:42:11.0359 2660 Mup - ok
21:42:11.0468 2660 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
21:42:11.0718 2660 NABTSFEC - ok
21:42:11.0812 2660 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
21:42:12.0046 2660 NDIS - ok
21:42:12.0156 2660 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
21:42:12.0328 2660 NdisIP - ok
21:42:12.0421 2660 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
21:42:12.0453 2660 NdisTapi - ok
21:42:12.0562 2660 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
21:42:12.0781 2660 Ndisuio - ok
21:42:12.0890 2660 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
21:42:13.0031 2660 NdisWan - ok
21:42:13.0109 2660 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
21:42:13.0156 2660 NDProxy - ok
21:42:13.0234 2660 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
21:42:13.0406 2660 NetBIOS - ok
21:42:13.0531 2660 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
21:42:13.0734 2660 NetBT - ok
21:42:13.0875 2660 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
21:42:13.0984 2660 NIC1394 - ok
21:42:14.0062 2660 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
21:42:14.0171 2660 Npfs - ok
21:42:14.0281 2660 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
21:42:14.0546 2660 Ntfs - ok
21:42:14.0718 2660 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
21:42:14.0906 2660 Null - ok
21:42:15.0062 2660 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
21:42:15.0328 2660 NwlnkFlt - ok
21:42:15.0390 2660 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
21:42:15.0562 2660 NwlnkFwd - ok
21:42:15.0718 2660 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
21:42:15.0859 2660 ohci1394 - ok
21:42:15.0937 2660 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
21:42:16.0125 2660 Parport - ok
21:42:16.0250 2660 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
21:42:16.0421 2660 PartMgr - ok
21:42:16.0531 2660 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
21:42:16.0750 2660 ParVdm - ok
21:42:16.0859 2660 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
21:42:17.0000 2660 PCI - ok
21:42:17.0046 2660 PCIDump - ok
21:42:17.0125 2660 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\drivers\PCIIde.sys
21:42:17.0250 2660 PCIIde - ok
21:42:17.0343 2660 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
21:42:17.0531 2660 Pcmcia - ok
21:42:17.0687 2660 PDCOMP - ok
21:42:17.0734 2660 PDFRAME - ok
21:42:17.0796 2660 PDRELI - ok
21:42:17.0859 2660 PDRFRAME - ok
21:42:17.0921 2660 perc2 - ok
21:42:17.0968 2660 perc2hib - ok
21:42:18.0109 2660 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
21:42:18.0343 2660 PptpMiniport - ok
21:42:18.0453 2660 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
21:42:18.0578 2660 PSched - ok
21:42:18.0718 2660 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
21:42:18.0843 2660 Ptilink - ok
21:42:18.0937 2660 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
21:42:18.0953 2660 PxHelp20 - ok
21:42:19.0015 2660 ql1080 - ok
21:42:19.0078 2660 Ql10wnt - ok
21:42:19.0125 2660 ql12160 - ok
21:42:19.0218 2660 ql1240 - ok
21:42:19.0281 2660 ql1280 - ok
21:42:19.0343 2660 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
21:42:19.0546 2660 RasAcd - ok
21:42:19.0750 2660 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
21:42:19.0828 2660 Rasirda - ok
21:42:19.0921 2660 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
21:42:20.0046 2660 Rasl2tp - ok
21:42:20.0125 2660 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
21:42:20.0296 2660 RasPppoe - ok
21:42:20.0421 2660 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
21:42:20.0609 2660 Raspti - ok
21:42:20.0765 2660 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
21:42:21.0015 2660 Rdbss - ok
21:42:21.0078 2660 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
21:42:21.0203 2660 RDPCDD - ok
21:42:21.0296 2660 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
21:42:21.0437 2660 rdpdr - ok
21:42:21.0546 2660 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
21:42:21.0593 2660 RDPWD - ok
21:42:21.0718 2660 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
21:42:21.0906 2660 redbook - ok
21:42:22.0031 2660 RT73 - ok
21:42:22.0125 2660 sdbus (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
21:42:22.0359 2660 sdbus - ok
21:42:22.0484 2660 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
21:42:22.0562 2660 Secdrv - ok
21:42:22.0718 2660 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
21:42:22.0828 2660 serenum - ok
21:42:22.0890 2660 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
21:42:23.0062 2660 Serial - ok
21:42:23.0187 2660 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
21:42:23.0343 2660 Sfloppy - ok
21:42:23.0421 2660 Simbad - ok
21:42:23.0546 2660 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
21:42:23.0812 2660 SLIP - ok
21:42:23.0921 2660 SMCIRDA (d03a4cdb1b089e3f6c23501339506e5e) C:\WINDOWS\system32\DRIVERS\smcirda.sys
21:42:24.0000 2660 SMCIRDA - ok
21:42:24.0125 2660 smwdm (858934c454bdc6664c752bf0cd3eaeae) C:\WINDOWS\system32\drivers\smwdm.sys
21:42:24.0156 2660 smwdm - ok
21:42:24.0218 2660 Sparrow - ok
21:42:24.0296 2660 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
21:42:24.0421 2660 splitter - ok
21:42:24.0515 2660 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
21:42:24.0640 2660 sr - ok
21:42:24.0765 2660 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
21:42:24.0843 2660 Srv - ok
21:42:24.0953 2660 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
21:42:24.0968 2660 ssmdrv - ok
21:42:25.0078 2660 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
21:42:25.0125 2660 StarOpen ( UnsignedFile.Multi.Generic ) - warning
21:42:25.0125 2660 StarOpen - detected UnsignedFile.Multi.Generic (1)
21:42:25.0234 2660 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
21:42:25.0531 2660 streamip - ok
21:42:25.0718 2660 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
21:42:25.0843 2660 swenum - ok
21:42:25.0906 2660 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
21:42:26.0031 2660 swmidi - ok
21:42:26.0093 2660 symc810 - ok
21:42:26.0140 2660 symc8xx - ok
21:42:26.0203 2660 sym_hi - ok
21:42:26.0265 2660 sym_u3 - ok
21:42:26.0343 2660 SynTP (b828ecd5ac65a37e0043bfdd8bd692d4) C:\WINDOWS\system32\DRIVERS\SynTP.sys
21:42:26.0406 2660 SynTP - ok
21:42:26.0500 2660 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
21:42:26.0671 2660 sysaudio - ok
21:42:26.0859 2660 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
21:42:26.0968 2660 Tcpip - ok
21:42:27.0062 2660 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
21:42:27.0312 2660 TDPIPE - ok
21:42:27.0421 2660 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
21:42:27.0625 2660 TDTCP - ok
21:42:27.0734 2660 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
21:42:27.0859 2660 TermDD - ok
21:42:27.0968 2660 tifm21 (0edc3cf7b38f4260eb006c38e4a44de4) C:\WINDOWS\system32\drivers\tifm21.sys
21:42:28.0031 2660 tifm21 - ok
21:42:28.0109 2660 TosIde - ok
21:42:28.0218 2660 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
21:42:28.0437 2660 Udfs - ok
21:42:28.0515 2660 ultra - ok
21:42:28.0671 2660 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
21:42:28.0968 2660 Update - ok
21:42:29.0109 2660 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
21:42:29.0281 2660 usbaudio - ok
21:42:29.0359 2660 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
21:42:29.0578 2660 usbccgp - ok
21:42:29.0781 2660 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
21:42:29.0953 2660 usbehci - ok
21:42:30.0093 2660 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
21:42:30.0328 2660 usbhub - ok
21:42:30.0421 2660 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
21:42:30.0562 2660 usbprint - ok
21:42:30.0718 2660 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
21:42:30.0890 2660 USBSTOR - ok
21:42:31.0000 2660 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
21:42:31.0156 2660 usbuhci - ok
21:42:31.0281 2660 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
21:42:31.0515 2660 usbvideo - ok
21:42:31.0687 2660 V0610Afx (3f7ee8d806fd53b95223fa5459661a2f) C:\WINDOWS\system32\DRIVERS\V0610Afx.sys
21:42:31.0828 2660 V0610Afx - ok
21:42:31.0984 2660 V0610Vid (ed365b0199437c05ac409f94d73706ef) C:\WINDOWS\system32\DRIVERS\V0610Vid.sys
21:42:32.0125 2660 V0610Vid - ok
21:42:32.0187 2660 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
21:42:32.0406 2660 VgaSave - ok
21:42:32.0484 2660 ViaIde - ok
21:42:32.0546 2660 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
21:42:32.0734 2660 VolSnap - ok
21:42:33.0031 2660 w29n51 (d6006de6a6ed423d8016a03bc50cbe6b) C:\WINDOWS\system32\DRIVERS\w29n51.sys
21:42:33.0484 2660 w29n51 - ok
21:42:33.0562 2660 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
21:42:33.0828 2660 Wanarp - ok
21:42:33.0968 2660 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
21:42:34.0046 2660 Wdf01000 - ok
21:42:34.0156 2660 WDICA - ok
21:42:34.0250 2660 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
21:42:34.0375 2660 wdmaud - ok
21:42:34.0484 2660 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
21:42:34.0656 2660 WmiAcpi - ok
21:42:34.0796 2660 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
21:42:34.0953 2660 WSTCODEC - ok
21:42:35.0015 2660 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
21:42:35.0234 2660 \Device\Harddisk0\DR0 - ok
21:42:35.0250 2660 Boot (0x1200) (2695400e607879b164ed68c4a435d012) \Device\Harddisk0\DR0\Partition0
21:42:35.0250 2660 \Device\Harddisk0\DR0\Partition0 - ok
21:42:35.0296 2660 Boot (0x1200) (a92baa67b23773e66e60bf0b241d061b) \Device\Harddisk0\DR0\Partition1
21:42:35.0296 2660 \Device\Harddisk0\DR0\Partition1 - ok
21:42:35.0296 2660 ============================================================
21:42:35.0296 2660 Scan finished
21:42:35.0296 2660 ============================================================
21:42:35.0406 0300 Detected object count: 1
21:42:35.0406 0300 Actual detected object count: 1
21:43:53.0484 0300 StarOpen ( UnsignedFile.Multi.Generic ) - skipped by user
21:43:53.0484 0300 StarOpen ( UnsignedFile.Multi.Generic ) - User select action: Skip

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hi,

so jetzt kommt hier das Log. Der Recher wurde durch ComboFix neugestartet, nachdem das Programm eine infizierte Datei gefunden hatte, bevor der Log erstellt wurde. Ist das ok? Grüße!
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-10-20.05 - Kathrin 20.10.2011  22:01:46.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.310 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kathrin\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Infizierte Kopie von c:\windows\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\ctfmon.exe.backup wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-20 bis 2011-10-20  ))))))))))))))))))))))))))))))
.
.
2011-10-18 21:41 . 2011-10-18 21:41	--------	d-----w-	C:\_OTL
2011-10-16 21:25 . 2011-10-16 21:25	--------	d-----w-	c:\windows\system32\XPSViewer
2011-10-16 21:25 . 2011-10-16 21:25	--------	d-----w-	c:\programme\MSBuild
2011-10-16 21:25 . 2011-10-16 21:25	--------	d-----w-	c:\programme\Reference Assemblies
2011-10-16 21:24 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2011-10-16 21:24 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2011-10-16 21:24 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2011-10-16 21:24 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2011-10-16 21:24 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2011-10-16 21:24 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2011-10-16 21:24 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2011-10-16 21:24 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2011-10-16 21:24 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2011-10-15 01:14 . 2011-10-15 01:14	--------	d-----w-	c:\windows\system32\KB905474
2011-10-14 19:21 . 2008-06-14 17:32	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2011-10-14 19:21 . 2008-06-14 17:32	273024	------w-	c:\windows\system32\drivers\bthport.sys
2011-10-14 19:20 . 2011-07-15 13:29	456320	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2011-10-14 19:18 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-10-14 19:06 . 2010-12-09 15:13	2029568	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2011-10-14 19:06 . 2010-12-09 15:13	2151424	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2011-10-14 19:06 . 2010-12-09 15:13	2195072	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2011-10-14 19:06 . 2010-12-09 15:13	2071680	-c----w-	c:\windows\system32\dllcache\ntkrnlpa.exe
2011-10-14 18:57 . 2011-10-15 16:34	--------	d--h--w-	c:\windows\$hf_mig$
2011-10-14 16:23 . 2011-10-14 16:23	--------	d-----w-	c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Malwarebytes
2011-10-14 16:17 . 2011-10-14 16:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-10-14 16:17 . 2011-10-14 16:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-10-14 16:17 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-10-14 14:28 . 2011-10-14 14:28	--------	d-----w-	c:\programme\ESET
2011-10-14 10:42 . 2011-10-14 10:42	--------	d-----w-	c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Avira
2011-10-14 10:41 . 2011-10-11 13:00	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-10-14 10:41 . 2011-10-11 13:00	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2011-10-14 10:41 . 2011-10-11 13:00	134344	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-10-14 10:40 . 2011-10-14 10:40	--------	d-----w-	c:\programme\Avira
2011-10-14 10:40 . 2011-10-14 10:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-09-26 09:41 . 2011-09-26 09:41	614912	------w-	c:\windows\system32\uiautomationcore.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-05 11:15 . 2011-07-02 16:36	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-26 09:41 . 2008-04-14 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2008-04-14 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-09 09:11 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-06 14:10 . 2008-04-14 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-09-05 13:55 . 2008-04-14 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2011-09-05 13:55 . 2008-04-14 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-09-05 13:55 . 2008-04-14 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2011-09-05 13:54 . 2008-04-14 12:00	371200	----a-w-	c:\windows\system32\html.iec
2011-08-17 13:49 . 2008-04-14 12:00	138496	----a-w-	c:\windows\system32\drivers\afd.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2010-11-19 5636136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-11-14 815104]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"AGRSMMSG"="AGRSMMSG.exe" [2004-08-24 88363]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-06-19 101144]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-06-19 84760]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-06-19 125720]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-08 148888]
"EPSON Stylus C84 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE" [2003-09-12 99840]
"Live! Central 2"="c:\programme\Creative\Creative  Live! Cam\Live! Central 2\CTLVCentral2.exe" [2009-11-04 426140]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk
backup=c:\windows\pss\Audible Download Manager.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips GoGear SA018 Device Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips GoGear SA018 Device Manager.lnk
backup=c:\windows\pss\Philips GoGear SA018 Device Manager.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kathrin^Startmenü^Programme^Autostart^StarOffice 8.lnk]
path=c:\dokumente und einstellungen\Kathrin\Startmenü\Programme\Autostart\StarOffice 8.lnk
backup=c:\windows\pss\StarOffice 8.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33	141600	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 11:52	2072576	----a-w-	c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-03-09 15:49	37888	----a-w-	c:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [14.10.2011 12:41 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.10.2011 12:41 86224]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 13:52 14336]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [10.04.2009 15:11 87936]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [23.11.2009 22:34 135664]
S3 Clewkieeud;Clewkieeud; [x]
S3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\drivers\CtClsFlt.sys [02.07.2011 18:11 143936]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [23.11.2009 22:34 135664]
S3 V0610Afx;Creative Camera VF0610 Audio Effects Driver;c:\windows\system32\drivers\V0610Afx.sys [02.07.2011 18:25 160256]
S3 V0610Vid;Creative Live! Cam Socialize HD Driver;c:\windows\system32\drivers\V0610Vid.sys [02.07.2011 18:24 274720]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-23 20:34]
.
2011-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-23 20:34]
.
2011-10-20 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-10-15 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Mozilla\Firefox\Profiles\l29bp5ay.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Skype extension: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Torbutton: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca} - %profile%\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-10-20 22:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wscntfy.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Vidalia Bundle\Polipo\polipo.exe
c:\progra~1\hpq\Shared\HPQTOA~1.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-20  22:19:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-20 20:19
.
Vor Suchlauf: 2.287.521.792 Bytes frei
Nach Suchlauf: 2.396.229.632 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 23C7C74F874ADDE9E1EA0B72197A017D
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Seccenter::
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Driver::
Clewkieeud
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi,

hier das nächste Log von ComboFix.
Grüße!
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-10-21.05 - Kathrin 21.10.2011  22:12:21.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.247 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kathrin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kathrin\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Clewkieeud
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-21 bis 2011-10-21  ))))))))))))))))))))))))))))))
.
.
2011-10-18 21:41 . 2011-10-18 21:41	--------	d-----w-	C:\_OTL
2011-10-16 21:25 . 2011-10-16 21:25	--------	d-----w-	c:\windows\system32\XPSViewer
2011-10-16 21:25 . 2011-10-16 21:25	--------	d-----w-	c:\programme\MSBuild
2011-10-16 21:25 . 2011-10-16 21:25	--------	d-----w-	c:\programme\Reference Assemblies
2011-10-16 21:24 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2011-10-16 21:24 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2011-10-16 21:24 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2011-10-16 21:24 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2011-10-16 21:24 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2011-10-16 21:24 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2011-10-16 21:24 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2011-10-16 21:24 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2011-10-16 21:24 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2011-10-15 01:14 . 2011-10-15 01:14	--------	d-----w-	c:\windows\system32\KB905474
2011-10-14 19:21 . 2008-06-14 17:32	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2011-10-14 19:21 . 2008-06-14 17:32	273024	------w-	c:\windows\system32\drivers\bthport.sys
2011-10-14 19:20 . 2011-07-15 13:29	456320	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2011-10-14 19:18 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-10-14 19:06 . 2010-12-09 15:13	2029568	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2011-10-14 19:06 . 2010-12-09 15:13	2151424	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2011-10-14 19:06 . 2010-12-09 15:13	2195072	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2011-10-14 19:06 . 2010-12-09 15:13	2071680	-c----w-	c:\windows\system32\dllcache\ntkrnlpa.exe
2011-10-14 18:57 . 2011-10-15 16:34	--------	d--h--w-	c:\windows\$hf_mig$
2011-10-14 16:23 . 2011-10-14 16:23	--------	d-----w-	c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Malwarebytes
2011-10-14 16:17 . 2011-10-14 16:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-10-14 16:17 . 2011-10-14 16:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-10-14 16:17 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-10-14 14:28 . 2011-10-14 14:28	--------	d-----w-	c:\programme\ESET
2011-10-14 10:42 . 2011-10-14 10:42	--------	d-----w-	c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Avira
2011-10-14 10:41 . 2011-10-11 13:00	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-10-14 10:41 . 2011-10-11 13:00	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2011-10-14 10:41 . 2011-10-11 13:00	134344	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-10-14 10:40 . 2011-10-14 10:40	--------	d-----w-	c:\programme\Avira
2011-10-14 10:40 . 2011-10-14 10:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-09-26 09:41 . 2011-09-26 09:41	614912	------w-	c:\windows\system32\uiautomationcore.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-05 11:15 . 2011-07-02 16:36	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-26 09:41 . 2008-04-14 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2008-04-14 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-09 09:11 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-06 14:10 . 2008-04-14 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-09-05 13:55 . 2008-04-14 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2011-09-05 13:55 . 2008-04-14 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-09-05 13:55 . 2008-04-14 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2011-09-05 13:54 . 2008-04-14 12:00	371200	----a-w-	c:\windows\system32\html.iec
2011-08-17 13:49 . 2008-04-14 12:00	138496	----a-w-	c:\windows\system32\drivers\afd.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-10-20_20.12.59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-10-21 20:22 . 2011-10-21 20:22	16384              c:\windows\Temp\Perflib_Perfdata_cc.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2010-11-19 5636136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-11-14 815104]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"AGRSMMSG"="AGRSMMSG.exe" [2004-08-24 88363]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-06-19 101144]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-06-19 84760]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-06-19 125720]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-08 148888]
"EPSON Stylus C84 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE" [2003-09-12 99840]
"Live! Central 2"="c:\programme\Creative\Creative  Live! Cam\Live! Central 2\CTLVCentral2.exe" [2009-11-04 426140]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk
backup=c:\windows\pss\Audible Download Manager.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips GoGear SA018 Device Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips GoGear SA018 Device Manager.lnk
backup=c:\windows\pss\Philips GoGear SA018 Device Manager.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kathrin^Startmenü^Programme^Autostart^StarOffice 8.lnk]
path=c:\dokumente und einstellungen\Kathrin\Startmenü\Programme\Autostart\StarOffice 8.lnk
backup=c:\windows\pss\StarOffice 8.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33	141600	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 11:52	2072576	----a-w-	c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-03-09 15:49	37888	----a-w-	c:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [14.10.2011 12:41 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.10.2011 12:41 86224]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 13:52 14336]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [10.04.2009 15:11 87936]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [23.11.2009 22:34 135664]
S3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\drivers\CtClsFlt.sys [02.07.2011 18:11 143936]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [23.11.2009 22:34 135664]
S3 V0610Afx;Creative Camera VF0610 Audio Effects Driver;c:\windows\system32\drivers\V0610Afx.sys [02.07.2011 18:25 160256]
S3 V0610Vid;Creative Live! Cam Socialize HD Driver;c:\windows\system32\drivers\V0610Vid.sys [02.07.2011 18:24 274720]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-23 20:34]
.
2011-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-23 20:34]
.
2011-10-21 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-10-15 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Mozilla\Firefox\Profiles\l29bp5ay.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Skype extension: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Torbutton: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca} - %profile%\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-10-21 22:24
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wscntfy.exe
c:\programme\Vidalia Bundle\Polipo\polipo.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\progra~1\hpq\Shared\HPQTOA~1.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-21  22:28:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-21 20:28
ComboFix2.txt  2011-10-20 20:19
.
Vor Suchlauf: 2.439.512.064 Bytes frei
Nach Suchlauf: 2.282.500.096 Bytes frei
.
- - End Of File - - 615C881DE866A5E2E0319D48103C23DE
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hi,

hier sind die nächsten 3 Logs. Keine Probleme beim ausführen. Kann ich jetzt eigentlich wieder normal ins Internet? Muss ich meine Passwörter austauschen?

Viele Grüße!