Mehrere Trojaner auf meinen PC durch Facebook

FloD · 29.11.2011, 21:45

Hallo zusammen,
ich habe mich vor kurzem auf Facebook angemeldet. Als ich meine Nachichten durschschaute hab ich einen Link bekommen und diesen angeklickt...
Seither habe ich mehrere Trojaner auf meinem PC... Ich lass jetzt jeden Tag mein Avira das System durchsuchen und er findedt immer wieder einen neuen Troyaner... Ich habe mir Malwarebytes runtergeladen und nochmal scannen lassen und da gab es 10 Funde... Jetzt habe ich bedenken, wenn ich diese Viren lösch, das das internet nicht mehr funktioniert... Zumindest hat mir das ein Kollege erzählt der auch über Facebook einen Virus hatte...
Ich hab hier mal die Berichte (Funde) von Avira (vielleicht kann mir jemand sagen wie ich solche Berichte in diese "Kästen zum Scrollen" packen kann).

Bericht 1

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP181\A0036078.dll'
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP181\A0036078.dll
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d84a55c.qua' verschoben!

Bericht 2

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\wpbt0.dll'
C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\wpbt0.dll
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d8f328d.qua' verschoben!
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLBBYLVJ\info[1].exe'
C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLBBYLVJ\info[1].exe
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '551c1d29.qua' verschoben!

Bericht 3 (den hab ich 2 mal an einem Tag gefunden)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP186\A0039215.exe'
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP186\A0039215.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.cowma
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4da5a766.qua' verschoben!

Bericht 4 (das war der schlimmste)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

C:\windows\system32\wpbt0.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28

Die Registry wurde durchsucht ( '1035' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\Dokumente und Einstellungen\chris\Anwendungsdaten\mahmud.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.DU.14
C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\726705d7-5ed78b4b
[0] Archivtyp: ZIP
--> json/Parser.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.P
--> json/XML.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FH
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP173\A0033674.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.clbi
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP176\A0035830.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.428326
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP178\A0035870.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.428326
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP179\A0036019.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.4283215
C:\WINDOWS\system32\wpbt0.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP179\A0036019.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.4283215
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f5e42e.qua' verschoben!
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP178\A0035870.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.428326
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d62cb89.qua' verschoben!
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP176\A0035830.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.428326
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f3d9161.qua' verschoben!
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP173\A0033674.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.clbi
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '690adea0.qua' verschoben!
C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\726705d7-5ed78b4b
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2c84f398.qua' verschoben!
C:\Dokumente und Einstellungen\chris\Anwendungsdaten\mahmud.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.DU.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53adc1ae.qua' verschoben!
C:\windows\system32\wpbt0.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Update> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f1bedf1.qua' verschoben!

Bericht 5

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042288.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.DU.14
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042289.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042289.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f464aa.qua' verschoben!
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042288.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.DU.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d634b0d.qua' verschoben!

Bericht 6

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP171\A0033575.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.402155
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP171\A0033575.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.402155
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45a7b9ef.qua' verschoben!

Und zum Schluss noch der MB Log

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8272

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.11.2011 21:16:33
mbam-log-2011-11-29 (21-16-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150618
Laufzeit: 6 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\DD1APJEZAI (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken.

Vielen Dank schonmal im voraus!

Larusso · 30.11.2011, 10:23

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr
dds.pif

Schließe alle laufenden Programme.
Starte DDS mit Doppelklick.
Es wird 2 Logfiles erstellen.
- dds.txt
- attach.txt
Speichere beide Logfiles auf deinem Desktop
Poste beide Logfiles hier.

Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt

FloD · 30.11.2011, 19:21

Hallo!

Ersteinmal danke das du dich meiner Sache animmst.
Ich habe mir dieses dds Programm heruntergeladen und ausgeführt, dabei habe ich alle laufenden Programme (denk und hoffe ich zumindest) geschlossen...
Avira, Firefox... Doch leider kommt es nicht dazu das ich diese beiden logs abspeichern kann... mir kommt es so vor als würde der Pc auch nicht weiter arbeiten/scanen... Es bleibt halt bei einen gewissen Punkt stehen (unter dem "was" am ende des satzes darüber)
Muss ich auch noch mein Audio Manager und ähnliche Programme abschalten?

Mfg Florian

Larusso · 30.11.2011, 20:44

ne, dann hängt sich wahrscheinlich dds auf

Versuch bitte folgendes

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.manifest /3
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

FloD · 30.11.2011, 20:51

Es hat jetzt auch ohne OTL funktioniert! OTL hab ich mir jetzt auch erstmal noch nicht runtergeladen... Kommt aber sicherlich noch...

dds.txt

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_21
Run by chris at 20:40:52 on 2011-11-30
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1977.1578 [GMT 1:00]
.
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\windows\system32\svchost -k DcomLaunch
svchost.exe
C:\windows\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\windows\Explorer.EXE
svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\windows\RTHDCPL.EXE
C:\windows\system32\svchost.exe -k imgsvc
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Ask.com\Updater\Updater.exe
C:\windows\system32\ctfmon.exe
C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\system32\wscntfy.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://de.search-results.com/?l=dis&o=1865
uURLSearchHooks: UrlSearchHook Class: {00000000-6e41-4fd3-8538-502f5495e5fc} - c:\programme\ask.com\GenericAskToolbar.dll
BHO: Search-Results Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Search-Results Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [woak.exe] "c:\dokumente und einstellungen\chris\anwendungsdaten\ynira\woak.exe"
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [<NO NAME>]
mRun: [ApnUpdater] "c:\programme\ask.com\updater\Updater.exe"
mRun: [LexwareInfoService] c:\programme\gemeinsame dateien\lexware\update manager\LxUpdateManager.exe /autostart
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\chris\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{232AA784-0581-4BCF-B65F-A98DF972BCDA} : DhcpNameServer = 192.168.0.1
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\chris\anwendungsdaten\mozilla\firefox\profiles\nt6ty0pc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://websearch.search-results.com/redirect?client=ff&src=kw&tb=STC3-SRS&o=1863&locale=de_DE&apn_uid=D3BE0CFF-3477-40BE-B677-79DE300E9117&apn_ptnrs=^A1E&apn_sauid=72D93D0C-8934-4C47-9E6D-AFD152B2863D&apn_dtid=^YYYYYY^YY^DE&q=
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\DotNetAssistantExtension
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2010-11-15 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2010-11-15 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2010-11-15 269480]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-11-15 66616]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
=============== Created Last 30 ================
.
2011-11-29 20:05:41 -------- d-----w- c:\dokumente und einstellungen\chris\anwendungsdaten\Malwarebytes
2011-11-29 20:04:55 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2011-11-29 20:04:50 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-29 20:04:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
.
==================== Find3M ====================
.
2011-10-24 13:29:02 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2011-10-24 13:29:02 69632 ----a-w- c:\windows\system32\QuickTime.qts
2011-10-10 14:22:46 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-09 10:47:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-10-09 10:47:24 423656 ----a-w- c:\windows\system32\deployJava1.dll
2011-09-28 07:06:43 604160 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 09:41:54 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41:54 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41:20 220160 ----a-w- c:\windows\system32\oleacc.dll
2011-09-06 14:10:01 1859072 ----a-w- c:\windows\system32\win32k.sys
.
============= FINISH: 20:42:26,37 ===============

attach.txt

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume2
Install Date: 19.10.2008 00:55:55
System Uptime: 30.11.2011 19:52:00 (1 hours ago)
.
Motherboard: Acer | | CathedralPeak
Processor: Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz | U2E1 | 1995/166mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 68 GiB total, 53,452 GiB free.
D: is FIXED (NTFS) - 68 GiB total, 55,202 GiB free.
E: is Removable
F: is CDROM ()
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP151: 01.09.2011 15:03:43 - Systemprüfpunkt
RP152: 03.09.2011 21:21:32 - Systemprüfpunkt
RP153: 06.09.2011 07:57:41 - Systemprüfpunkt
RP154: 07.09.2011 13:33:50 - Software Distribution Service 3.0
RP155: 11.09.2011 09:45:49 - Systemprüfpunkt
RP156: 12.09.2011 22:24:17 - Systemprüfpunkt
RP157: 15.09.2011 10:50:51 - Software Distribution Service 3.0
RP158: 18.09.2011 19:05:44 - Systemprüfpunkt
RP159: 23.09.2011 06:29:31 - Systemprüfpunkt
RP160: 25.09.2011 17:13:01 - Systemprüfpunkt
RP161: 28.09.2011 06:42:55 - Software Distribution Service 3.0
RP162: 29.09.2011 12:27:49 - Systemprüfpunkt
RP163: 03.10.2011 13:19:47 - Systemprüfpunkt
RP164: 06.10.2011 21:01:21 - Systemprüfpunkt
RP165: 08.10.2011 09:12:37 - Systemprüfpunkt
RP166: 09.10.2011 11:32:14 - Systemprüfpunkt
RP167: 10.10.2011 21:38:16 - Software Distribution Service 3.0
RP168: 11.10.2011 07:05:10 - Software Distribution Service 3.0
RP169: 11.10.2011 12:20:06 - Druckertreiber Microsoft XPS Document Writer installiert
RP170: 11.10.2011 21:55:42 - Software Distribution Service 3.0
RP171: 13.10.2011 09:16:11 - Software Distribution Service 3.0
RP172: 17.10.2011 18:12:57 - Systemprüfpunkt
RP173: 21.10.2011 13:59:02 - Systemprüfpunkt
RP174: 27.10.2011 15:04:17 - Systemprüfpunkt
RP175: 31.10.2011 17:18:09 - QuickTime wird installiert
RP176: 02.11.2011 08:40:53 - Systemprüfpunkt
RP177: 03.11.2011 08:41:58 - Systemprüfpunkt
RP178: 04.11.2011 09:01:44 - Systemprüfpunkt
RP179: 05.11.2011 20:38:08 - Systemprüfpunkt
RP180: 08.11.2011 17:31:51 - Systemprüfpunkt
RP181: 09.11.2011 14:38:15 - Software Distribution Service 3.0
RP182: 12.11.2011 07:43:19 - Software Distribution Service 3.0
RP183: 13.11.2011 18:29:48 - Systemprüfpunkt
RP184: 17.11.2011 13:22:26 - Systemprüfpunkt
RP185: 18.11.2011 17:13:43 - Systemprüfpunkt
RP186: 20.11.2011 16:16:54 - Systemprüfpunkt
RP187: 25.11.2011 19:06:54 - Systemprüfpunkt
RP188: 27.11.2011 11:56:50 - Systemprüfpunkt
RP189: 28.11.2011 17:59:37 - Systemprüfpunkt
RP190: 29.11.2011 19:21:58 - Systemprüfpunkt
RP191: 30.11.2011 20:32:28 - Systemprüfpunkt
.
==== Installed Programs ======================
.
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Agere Systems HDA Modem
Apple Application Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Canon CanoScan Toolbox 4.1
CanoScan LiDE20,30 Manual
dm-Fotowelt
EclipseCrossword
Foxit Reader
Haufe iDesk-Browser
Haufe iDesk-Service
Hotel Mahjong Deluxe v1.0
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB2158563)
Hotfix für Windows XP (KB2443685)
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
Intel(R) Graphics Media Accelerator Driver
Java(TM) 6 Update 21
Lexware Info Service
MahJong Suite 2010 v7.1
MahJong Suite Graphics Pack Volume 1 - v1.8
MahJong Suite Graphics Pack Volume 2 - v2.9
Malwarebytes' Anti-Malware Version 1.51.2.1300
Marvell Miniport Driver
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox (3.6.24)
Mozilla Thunderbird (2.0.0.17)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Need4 Video Converter 9
OpenOffice.org 3.0
QuickSteuer 2011
QuickSteuer Wissens-Center 2011
QuickTime
Realtek High Definition Audio Driver
Search-Results Toolbar
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 7 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2416400)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2482017)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2121546)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2259922)
Sicherheitsupdate für Windows XP (KB2279986)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2296199)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2436673)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2476687)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479628)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485376)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2503658)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2506223)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2511455)
Sicherheitsupdate für Windows XP (KB2524375)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2536276)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981349)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981957)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982665)
Synaptics Pointing Device Driver
Update für Windows Internet Explorer 8 (KB2362765)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows XP (KB2141007)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2607712)
Update für Windows XP (KB2616676)
Update für Windows XP (KB2641690)
Update für Windows XP (KB898461)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
WebFldrs XP
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Messenger 5.1
.
==== End Of File ===========================

Etschuldige bitte den Anhang...

Larusso · 30.11.2011, 20:54

Wenn DDS läuft, brauch ich derzeit kein OTL LOg

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

FloD · 30.11.2011, 21:44

Gmer.txt Log

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-11-30 21:38:06
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.FB2O
Running: kkowdw5v.exe; Driver: C:\DOKUME~1\chris\LOKALE~1\Temp\uwtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            BA73E914                                                                                                ZwClose
SSDT            BA73E8CE                                                                                                ZwCreateKey
SSDT            BA73E91E                                                                                                ZwCreateSection
SSDT            BA73E8C4                                                                                                ZwCreateThread
SSDT            BA73E8D3                                                                                                ZwDeleteKey
SSDT            BA73E8DD                                                                                                ZwDeleteValueKey
SSDT            BA73E90F                                                                                                ZwDuplicateObject
SSDT            BA73E8E2                                                                                                ZwLoadKey
SSDT            BA73E8B0                                                                                                ZwOpenProcess
SSDT            BA73E8B5                                                                                                ZwOpenThread
SSDT            BA73E8EC                                                                                                ZwReplaceKey
SSDT            BA73E8E7                                                                                                ZwRestoreKey
SSDT            BA73E923                                                                                                ZwSetContextThread
SSDT            BA73E8D8                                                                                                ZwSetValueKey
SSDT            BA73E8BF                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C48                                                                    805044E4 4 Bytes  JMP D1CEFF5C 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C88                                                                    80504524 4 Bytes  [CE, E8, 73, BA]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2CAC                                                                    80504548 4 Bytes  JMP D09EFFC0 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2CB8                                                                    80504554 4 Bytes  CALL EFBEFFCC 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2CE0                                                                    8050457C 4 Bytes  CALL D2DAFFF4 
.text           ...                                                                                                     

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\igfxsrvc.exe[268] ntdll.dll!NtCreateThread                                          7C91D1AE 5 Bytes  JMP 011ED05A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] kernel32.dll!GetFileAttributesExW                                 7C811195 5 Bytes  JMP 011ED23A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!InternetReadFile                                      408C654B 5 Bytes  JMP 011FF693 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!HttpQueryInfoA                                        408C878D 5 Bytes  JMP 011FF748 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!InternetCloseHandle                                   408C9088 5 Bytes  JMP 011FF662 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!InternetQueryDataAvailable                            408CBF7F 5 Bytes  JMP 011FF71C 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!HttpSendRequestW                                      408CFABE 5 Bytes  JMP 011FF48A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!HttpSendRequestA                                      408DEE91 5 Bytes  JMP 011FF4DD 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!InternetReadFileExA                                   408E3261 5 Bytes  JMP 011FF6D2 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!HttpSendRequestExA                                    4093A65A 5 Bytes  JMP 011FF5C9 
.text           C:\WINDOWS\system32\igfxsrvc.exe[268] WININET.dll!HttpSendRequestExW                                    4093A6B3 5 Bytes  JMP 011FF530 
.text           C:\WINDOWS\system32\igfxpers.exe[404] ntdll.dll!NtCreateThread                                          7C91D1AE 5 Bytes  JMP 00F1D05A 
.text           C:\WINDOWS\system32\igfxpers.exe[404] kernel32.dll!GetFileAttributesExW                                 7C811195 5 Bytes  JMP 00F1D23A 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!InternetReadFile                                      408C654B 5 Bytes  JMP 00F2F693 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!HttpQueryInfoA                                        408C878D 5 Bytes  JMP 00F2F748 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!InternetCloseHandle                                   408C9088 5 Bytes  JMP 00F2F662 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!InternetQueryDataAvailable                            408CBF7F 5 Bytes  JMP 00F2F71C 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!HttpSendRequestW                                      408CFABE 5 Bytes  JMP 00F2F48A 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!HttpSendRequestA                                      408DEE91 5 Bytes  JMP 00F2F4DD 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!InternetReadFileExA                                   408E3261 5 Bytes  JMP 00F2F6D2 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!HttpSendRequestExA                                    4093A65A 5 Bytes  JMP 00F2F5C9 
.text           C:\WINDOWS\system32\igfxpers.exe[404] WININET.dll!HttpSendRequestExW                                    4093A6B3 5 Bytes  JMP 00F2F530 
.text           C:\windows\Explorer.EXE[432] ntdll.dll!NtCreateThread                                                   7C91D1AE 5 Bytes  JMP 00D3D05A 
.text           C:\windows\Explorer.EXE[432] kernel32.dll!GetFileAttributesExW                                          7C811195 5 Bytes  JMP 00D3D23A 
.text           C:\windows\Explorer.EXE[432] WININET.dll!InternetReadFile                                               408C654B 5 Bytes  JMP 00D4F693 
.text           C:\windows\Explorer.EXE[432] WININET.dll!HttpQueryInfoA                                                 408C878D 5 Bytes  JMP 00D4F748 
.text           C:\windows\Explorer.EXE[432] WININET.dll!InternetCloseHandle                                            408C9088 5 Bytes  JMP 00D4F662 
.text           C:\windows\Explorer.EXE[432] WININET.dll!InternetQueryDataAvailable                                     408CBF7F 5 Bytes  JMP 00D4F71C 
.text           C:\windows\Explorer.EXE[432] WININET.dll!HttpSendRequestW                                               408CFABE 5 Bytes  JMP 00D4F48A 
.text           C:\windows\Explorer.EXE[432] WININET.dll!HttpSendRequestA                                               408DEE91 5 Bytes  JMP 00D4F4DD 
.text           C:\windows\Explorer.EXE[432] WININET.dll!InternetReadFileExA                                            408E3261 5 Bytes  JMP 00D4F6D2 
.text           C:\windows\Explorer.EXE[432] WININET.dll!HttpSendRequestExA                                             4093A65A 5 Bytes  JMP 00D4F5C9 
.text           C:\windows\Explorer.EXE[432] WININET.dll!HttpSendRequestExW                                             4093A6B3 5 Bytes  JMP 00D4F530 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] ntdll.dll!NtCreateThread                                7C91D1AE 5 Bytes  JMP 00FCD05A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] kernel32.dll!GetFileAttributesExW                       7C811195 5 Bytes  JMP 00FCD23A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!InternetReadFile                            408C654B 5 Bytes  JMP 00FDF693 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!HttpQueryInfoA                              408C878D 5 Bytes  JMP 00FDF748 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!InternetCloseHandle                         408C9088 5 Bytes  JMP 00FDF662 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!InternetQueryDataAvailable                  408CBF7F 5 Bytes  JMP 00FDF71C 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!HttpSendRequestW                            408CFABE 5 Bytes  JMP 00FDF48A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!HttpSendRequestA                            408DEE91 5 Bytes  JMP 00FDF4DD 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!InternetReadFileExA                         408E3261 5 Bytes  JMP 00FDF6D2 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!HttpSendRequestExA                          4093A65A 5 Bytes  JMP 00FDF5C9 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1300] WININET.dll!HttpSendRequestExW                          4093A6B3 5 Bytes  JMP 00FDF530 
.text           C:\windows\RTHDCPL.EXE[1312] ntdll.dll!NtCreateThread                                                   7C91D1AE 5 Bytes  JMP 01E4D05A 
.text           C:\windows\RTHDCPL.EXE[1312] kernel32.dll!GetFileAttributesExW                                          7C811195 5 Bytes  JMP 01E4D23A 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!InternetReadFile                                               408C654B 5 Bytes  JMP 01E5F693 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!HttpQueryInfoA                                                 408C878D 5 Bytes  JMP 01E5F748 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!InternetCloseHandle                                            408C9088 5 Bytes  JMP 01E5F662 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!InternetQueryDataAvailable                                     408CBF7F 5 Bytes  JMP 01E5F71C 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!HttpSendRequestW                                               408CFABE 5 Bytes  JMP 01E5F48A 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!HttpSendRequestA                                               408DEE91 5 Bytes  JMP 01E5F4DD 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!InternetReadFileExA                                            408E3261 5 Bytes  JMP 01E5F6D2 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!HttpSendRequestExA                                             4093A65A 5 Bytes  JMP 01E5F5C9 
.text           C:\windows\RTHDCPL.EXE[1312] WININET.dll!HttpSendRequestExW                                             4093A6B3 5 Bytes  JMP 01E5F530 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] ntdll.dll!NtCreateThread                             7C91D1AE 5 Bytes  JMP 00ABD05A 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] kernel32.dll!GetFileAttributesExW                    7C811195 5 Bytes  JMP 00ABD23A 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!InternetReadFile                         408C654B 5 Bytes  JMP 00ACF693 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!HttpQueryInfoA                           408C878D 5 Bytes  JMP 00ACF748 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!InternetCloseHandle                      408C9088 5 Bytes  JMP 00ACF662 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!InternetQueryDataAvailable               408CBF7F 5 Bytes  JMP 00ACF71C 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!HttpSendRequestW                         408CFABE 5 Bytes  JMP 00ACF48A 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!HttpSendRequestA                         408DEE91 5 Bytes  JMP 00ACF4DD 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!InternetReadFileExA                      408E3261 5 Bytes  JMP 00ACF6D2 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!HttpSendRequestExA                       4093A65A 5 Bytes  JMP 00ACF5C9 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1332] WININET.dll!HttpSendRequestExW                       4093A6B3 5 Bytes  JMP 00ACF530 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] ntdll.dll!NtCreateThread                                 7C91D1AE 5 Bytes  JMP 011CD05A 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] kernel32.dll!GetFileAttributesExW                        7C811195 5 Bytes  JMP 011CD23A 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!InternetReadFile                             408C654B 5 Bytes  JMP 011DF693 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!HttpQueryInfoA                               408C878D 5 Bytes  JMP 011DF748 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!InternetCloseHandle                          408C9088 5 Bytes  JMP 011DF662 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!InternetQueryDataAvailable                   408CBF7F 5 Bytes  JMP 011DF71C 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!HttpSendRequestW                             408CFABE 5 Bytes  JMP 011DF48A 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!HttpSendRequestA                             408DEE91 5 Bytes  JMP 011DF4DD 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!InternetReadFileExA                          408E3261 5 Bytes  JMP 011DF6D2 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!HttpSendRequestExA                           4093A65A 5 Bytes  JMP 011DF5C9 
.text           C:\Programme\Ask.com\Updater\Updater.exe[1496] WININET.dll!HttpSendRequestExW                           4093A6B3 5 Bytes  JMP 011DF530 
.text           C:\windows\system32\ctfmon.exe[1592] ntdll.dll!NtCreateThread                                           7C91D1AE 5 Bytes  JMP 00ACD05A 
.text           C:\windows\system32\ctfmon.exe[1592] kernel32.dll!GetFileAttributesExW                                  7C811195 5 Bytes  JMP 00ACD23A 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!InternetReadFile                                       408C654B 5 Bytes  JMP 00ADF693 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!HttpQueryInfoA                                         408C878D 5 Bytes  JMP 00ADF748 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!InternetCloseHandle                                    408C9088 5 Bytes  JMP 00ADF662 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!InternetQueryDataAvailable                             408CBF7F 5 Bytes  JMP 00ADF71C 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!HttpSendRequestW                                       408CFABE 5 Bytes  JMP 00ADF48A 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!HttpSendRequestA                                       408DEE91 5 Bytes  JMP 00ADF4DD 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!InternetReadFileExA                                    408E3261 5 Bytes  JMP 00ADF6D2 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!HttpSendRequestExA                                     4093A65A 5 Bytes  JMP 00ADF5C9 
.text           C:\windows\system32\ctfmon.exe[1592] WININET.dll!HttpSendRequestExW                                     4093A6B3 5 Bytes  JMP 00ADF530 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] ntdll.dll!NtCreateThread                                            7C91D1AE 5 Bytes  JMP 00FFD05A 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] kernel32.dll!GetFileAttributesExW                                   7C811195 5 Bytes  JMP 00FFD23A 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!InternetReadFile                                        408C654B 5 Bytes  JMP 0100F693 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!HttpQueryInfoA                                          408C878D 5 Bytes  JMP 0100F748 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!InternetCloseHandle                                     408C9088 5 Bytes  JMP 0100F662 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!InternetQueryDataAvailable                              408CBF7F 5 Bytes  JMP 0100F71C 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!HttpSendRequestW                                        408CFABE 5 Bytes  JMP 0100F48A 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!HttpSendRequestA                                        408DEE91 5 Bytes  JMP 0100F4DD 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!InternetReadFileExA                                     408E3261 5 Bytes  JMP 0100F6D2 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!HttpSendRequestExA                                      4093A65A 5 Bytes  JMP 0100F5C9 
.text           C:\WINDOWS\system32\hkcmd.exe[1872] WININET.dll!HttpSendRequestExW                                      4093A6B3 5 Bytes  JMP 0100F530 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] ntdll.dll!NtCreateThread                             7C91D1AE 5 Bytes  JMP 0013D05A 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] kernel32.dll!GetFileAttributesExW                    7C811195 5 Bytes  JMP 0013D23A 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!InternetReadFile                         408C654B 5 Bytes  JMP 0014F693 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!HttpQueryInfoA                           408C878D 5 Bytes  JMP 0014F748 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!InternetCloseHandle                      408C9088 5 Bytes  JMP 0014F662 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!InternetQueryDataAvailable               408CBF7F 5 Bytes  JMP 0014F71C 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!HttpSendRequestW                         408CFABE 5 Bytes  JMP 0014F48A 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!HttpSendRequestA                         408DEE91 5 Bytes  JMP 0014F4DD 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!InternetReadFileExA                      408E3261 5 Bytes  JMP 0014F6D2 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!HttpSendRequestExA                       4093A65A 5 Bytes  JMP 0014F5C9 
.text           C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe[2656] WININET.dll!HttpSendRequestExW                       4093A6B3 5 Bytes  JMP 0014F530 
.text           C:\windows\system32\wscntfy.exe[3172] ntdll.dll!NtCreateThread                                          7C91D1AE 5 Bytes  JMP 00B5D05A 
.text           C:\windows\system32\wscntfy.exe[3172] kernel32.dll!GetFileAttributesExW                                 7C811195 5 Bytes  JMP 00B5D23A 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!InternetReadFile                                      408C654B 5 Bytes  JMP 00B6F693 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!HttpQueryInfoA                                        408C878D 5 Bytes  JMP 00B6F748 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!InternetCloseHandle                                   408C9088 5 Bytes  JMP 00B6F662 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!InternetQueryDataAvailable                            408CBF7F 5 Bytes  JMP 00B6F71C 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!HttpSendRequestW                                      408CFABE 5 Bytes  JMP 00B6F48A 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!HttpSendRequestA                                      408DEE91 5 Bytes  JMP 00B6F4DD 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!InternetReadFileExA                                   408E3261 5 Bytes  JMP 00B6F6D2 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!HttpSendRequestExA                                    4093A65A 5 Bytes  JMP 00B6F5C9 
.text           C:\windows\system32\wscntfy.exe[3172] WININET.dll!HttpSendRequestExW                                    4093A6B3 5 Bytes  JMP 00B6F530 
.text           C:\windows\system32\NOTEPAD.EXE[3552] ntdll.dll!NtCreateThread                                          7C91D1AE 5 Bytes  JMP 0008D05A 
.text           C:\windows\system32\NOTEPAD.EXE[3552] kernel32.dll!GetFileAttributesExW                                 7C811195 5 Bytes  JMP 0008D23A 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!InternetReadFile                                      408C654B 5 Bytes  JMP 0009F693 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!HttpQueryInfoA                                        408C878D 5 Bytes  JMP 0009F748 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!InternetCloseHandle                                   408C9088 5 Bytes  JMP 0009F662 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!InternetQueryDataAvailable                            408CBF7F 5 Bytes  JMP 0009F71C 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!HttpSendRequestW                                      408CFABE 5 Bytes  JMP 0009F48A 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!HttpSendRequestA                                      408DEE91 5 Bytes  JMP 0009F4DD 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!InternetReadFileExA                                   408E3261 5 Bytes  JMP 0009F6D2 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!HttpSendRequestExA                                    4093A65A 5 Bytes  JMP 0009F5C9 
.text           C:\windows\system32\NOTEPAD.EXE[3552] WININET.dll!HttpSendRequestExW                                    4093A6B3 5 Bytes  JMP 0009F530 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] ntdll.dll!NtCreateThread                7C91D1AE 5 Bytes  JMP 0013D05A 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] kernel32.dll!GetFileAttributesExW       7C811195 5 Bytes  JMP 0013D23A 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!InternetReadFile            408C654B 5 Bytes  JMP 0014F693 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!HttpQueryInfoA              408C878D 5 Bytes  JMP 0014F748 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!InternetCloseHandle         408C9088 5 Bytes  JMP 0014F662 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!InternetQueryDataAvailable  408CBF7F 5 Bytes  JMP 0014F71C 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!HttpSendRequestW            408CFABE 5 Bytes  JMP 0014F48A 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!HttpSendRequestA            408DEE91 5 Bytes  JMP 0014F4DD 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!InternetReadFileExA         408E3261 5 Bytes  JMP 0014F6D2 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!HttpSendRequestExA          4093A65A 5 Bytes  JMP 0014F5C9 
.text           C:\Dokumente und Einstellungen\chris\Desktop\kkowdw5v.exe[3860] WININET.dll!HttpSendRequestExW          4093A6B3 5 Bytes  JMP 0014F530 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \FileSystem\Fastfat \Fat                                                                                A6DD5D20

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

Larusso · 30.11.2011, 21:45

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Bitte poste in deiner nächsten Antwort
Combofix.txt

FloD · 30.11.2011, 23:26

ComboFix.txt Log

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-11-30.03 - chris 30.11.2011  23:07:31.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1977.1532 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\chris\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\chris\Anwendungsdaten\Ynira
c:\dokumente und einstellungen\chris\Anwendungsdaten\Ynira\woak.exe
C:\Install.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-28 bis 2011-11-30  ))))))))))))))))))))))))))))))
.
.
2011-11-29 20:05 . 2011-11-29 20:05	--------	d-----w-	c:\dokumente und einstellungen\chris\Anwendungsdaten\Malwarebytes
2011-11-29 20:04 . 2011-11-29 20:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-11-29 20:04 . 2011-11-30 18:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-11-29 20:04 . 2011-08-31 16:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-27 10:24 . 2011-11-27 10:24	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-11-19 14:41 . 2011-11-19 14:41	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-24 13:29 . 2011-10-24 13:29	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2011-10-24 13:29 . 2011-10-24 13:29	69632	----a-w-	c:\windows\system32\QuickTime.qts
2011-10-10 14:22 . 2008-10-18 22:52	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-10-09 10:47 . 2011-10-09 10:47	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-10-09 10:47 . 2011-10-09 10:47	423656	----a-w-	c:\windows\system32\deployJava1.dll
2011-09-28 07:06 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2008-07-29 17:59	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2008-04-14 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2008-04-14 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-06 14:10 . 2008-04-14 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-08-25 1515496]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2011-08-25 13:24	1515496	----a-w-	c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-08-25 1515496]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-08-25 1515496]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-17 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-17 141848]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-02-22 1032192]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2011-08-25 886760]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\chris\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.11.2010 19:50 136360]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2011-11-30 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2011-08-25 13:24]
.
2011-11-30 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-10-25 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.search-results.com/?l=dis&o=1865
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\chris\Anwendungsdaten\Mozilla\Firefox\Profiles\nt6ty0pc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://websearch.search-results.com/redirect?client=ff&src=kw&tb=STC3-SRS&o=1863&locale=de_DE&apn_uid=D3BE0CFF-3477-40BE-B677-79DE300E9117&apn_ptnrs=^A1E&apn_sauid=72D93D0C-8934-4C47-9E6D-AFD152B2863D&apn_dtid=^YYYYYY^YY^DE&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-woak.exe - c:\dokumente und einstellungen\chris\Anwendungsdaten\Ynira\woak.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-30 23:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2572)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\dokume~1\chris\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-30  23:22:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-30 22:22
.
Vor Suchlauf: 6 Verzeichnis(se), 57.292.206.080 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 57.255.890.944 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\windows
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\windows="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A650917F4D6D1088A5BAC72A44DBC916

--- --- ---

Larusso · 01.12.2011, 00:30

Sieht gut aus

Update bitte Malwarebytes, lass einen Quick Scan laufen und poste mir das Logfile.

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 29 ) herunter laden.
Wenn die installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste in deiner nächsten Antwort
MBAM Log
log.txt

FloD · 01.12.2011, 23:17

Hallo,

das klingt ja gut

ich habe Java neu installiert habe aber keine älteren versionen auf meinem rechner gefunden... Habe dann noch die temporären Java dateien gelöscht wie du gesagt hast.

So, hier ist noch der quick scan von MB:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8287

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.12.2011 23:14:49
mbam-log-2011-12-01 (23-14-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150806
Laufzeit: 5 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das mit ESET ist mir noch nicht so ganz klar... wo kann ich diese esetsmartinstaller_enu.exe Datei herunterladen? Bzw macht es das automatisch wenn ich auf diesen Button klicke? Und muss ich, das was ich dann am Ende kopiere, genau in dieses Feld kopieren wo das hier steht >"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"

Nochmals Danke!!!

Larusso · 01.12.2011, 23:20

Lies einfach die Anleitung. Es gibt keine Anleitung zur Anleitung.

FloD · 03.12.2011, 13:58

So, ich hab jetzt Eset ausgeführt und er hat leider einen Trojaner gefunden... ich weis nicht ob das mein Fehler war, da ich Avira und meine Firewall ausgeschaltet hatte als ich diese esetsmartinstaller_enu.exe downgeloded hatte... Ich habe darauf hin MB nochmal suchen lassen und der hat nix gefunden...

MB Log

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8287

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.12.2011 13:56:37
mbam-log-2011-12-03 (13-56-36).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150597
Laufzeit: 6 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ESET

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8db16c066807fb45a2b402e2b7c212d0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-03 11:59:22
# local_time=2011-12-03 12:59:22 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 4964 59443204 0 0
# compatibility_mode=8192 67108863 100 0 4768 4768 0 0
# scanned=53849
# found=1
# cleaned=0
# scan_time=3578
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\chris\Anwendungsdaten\Ynira\woak.exe.vir Win32/Spy.Zbot.YW trojan (unable to clean) 00000000000000000000000000000000 I

Larusso · 03.12.2011, 16:54

Der Trojaner ist dort, wo er sein sollte und nicht mehr schädlich für dein System.

Please launch DDS

When done, DDS will open two (2) logs:
1. DDS.txt
2. Attach.txt
Save both reports to your desktop and post both in your next reply

Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt

FloD · 04.12.2011, 10:48

DDS

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_29
Run by chris at 10:45:52 on 2011-12-04
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1977.1587 [GMT 1:00]
.
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\windows\system32\svchost.exe -k DcomLaunch
svchost.exe
C:\windows\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\windows\Explorer.EXE
svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\windows\system32\svchost.exe -k imgsvc
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\windows\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Ask.com\Updater\Updater.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\DOKUME~1\chris\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\system32\wscntfy.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://de.search-results.com/?l=dis&o=1865
uURLSearchHooks: UrlSearchHook Class: {00000000-6e41-4fd3-8538-502f5495e5fc} - c:\programme\ask.com\GenericAskToolbar.dll
BHO: Search-Results Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Search-Results Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [ApnUpdater] "c:\programme\ask.com\updater\Updater.exe"
mRun: [LexwareInfoService] c:\programme\gemeinsame dateien\lexware\update manager\LxUpdateManager.exe /autostart
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\chris\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: Interfaces\{232AA784-0581-4BCF-B65F-A98DF972BCDA} : DhcpNameServer = 192.168.0.1
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\chris\anwendungsdaten\mozilla\firefox\profiles\nt6ty0pc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://websearch.search-results.com/redirect?client=ff&src=kw&tb=STC3-SRS&o=1863&locale=de_DE&apn_uid=D3BE0CFF-3477-40BE-B677-79DE300E9117&apn_ptnrs=^A1E&apn_sauid=72D93D0C-8934-4C47-9E6D-AFD152B2863D&apn_dtid=^YYYYYY^YY^DE&q=
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\DotNetAssistantExtension
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2010-11-15 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2010-11-15 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2010-11-15 269480]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-11-15 66616]
.
=============== Created Last 30 ================
.
2011-12-03 10:40:15 -------- d-----w- c:\programme\ESET
2011-11-30 23:43:07 -------- d-----w- c:\programme\VideoLAN
2011-11-30 23:10:41 -------- d-----w- c:\dokumente und einstellungen\chris\dwhelper
2011-11-30 22:06:05 -------- d-sha-r- C:\cmdcons
2011-11-30 22:02:19 98816 ----a-w- c:\windows\sed.exe
2011-11-30 22:02:19 518144 ----a-w- c:\windows\SWREG.exe
2011-11-30 22:02:19 256000 ----a-w- c:\windows\PEV.exe
2011-11-30 22:02:19 208896 ----a-w- c:\windows\MBR.exe
2011-11-29 20:05:41 -------- d-----w- c:\dokumente und einstellungen\chris\anwendungsdaten\Malwarebytes
2011-11-29 20:04:55 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2011-11-29 20:04:50 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-29 20:04:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
.
==================== Find3M ====================
.
2011-10-24 13:29:02 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2011-10-24 13:29:02 69632 ----a-w- c:\windows\system32\QuickTime.qts
2011-10-10 14:22:46 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-03 04:06:03 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-03 01:37:52 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-09-28 07:06:43 604160 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 09:41:54 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41:54 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41:20 220160 ----a-w- c:\windows\system32\oleacc.dll
2011-09-06 14:10:01 1859072 ----a-w- c:\windows\system32\win32k.sys
.
============= FINISH: 10:46:28,09 ===============

Attach

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume2
Install Date: 19.10.2008 00:55:55
System Uptime: 04.12.2011 10:32:24 (0 hours ago)
.
Motherboard: Acer | | CathedralPeak
Processor: Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz | U2E1 | 1995/166mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 68 GiB total, 51,559 GiB free.
D: is FIXED (NTFS) - 68 GiB total, 55,202 GiB free.
E: is Removable
F: is CDROM ()
G: is FIXED (FAT32) - 233 GiB total, 139,67 GiB free.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP153: 06.09.2011 07:57:41 - Systemprüfpunkt
RP154: 07.09.2011 13:33:50 - Software Distribution Service 3.0
RP155: 11.09.2011 09:45:49 - Systemprüfpunkt
RP156: 12.09.2011 22:24:17 - Systemprüfpunkt
RP157: 15.09.2011 10:50:51 - Software Distribution Service 3.0
RP158: 18.09.2011 19:05:44 - Systemprüfpunkt
RP159: 23.09.2011 06:29:31 - Systemprüfpunkt
RP160: 25.09.2011 17:13:01 - Systemprüfpunkt
RP161: 28.09.2011 06:42:55 - Software Distribution Service 3.0
RP162: 29.09.2011 12:27:49 - Systemprüfpunkt
RP163: 03.10.2011 13:19:47 - Systemprüfpunkt
RP164: 06.10.2011 21:01:21 - Systemprüfpunkt
RP165: 08.10.2011 09:12:37 - Systemprüfpunkt
RP166: 09.10.2011 11:32:14 - Systemprüfpunkt
RP167: 10.10.2011 21:38:16 - Software Distribution Service 3.0
RP168: 11.10.2011 07:05:10 - Software Distribution Service 3.0
RP169: 11.10.2011 12:20:06 - Druckertreiber Microsoft XPS Document Writer installiert
RP170: 11.10.2011 21:55:42 - Software Distribution Service 3.0
RP171: 13.10.2011 09:16:11 - Software Distribution Service 3.0
RP172: 17.10.2011 18:12:57 - Systemprüfpunkt
RP173: 21.10.2011 13:59:02 - Systemprüfpunkt
RP174: 27.10.2011 15:04:17 - Systemprüfpunkt
RP175: 31.10.2011 17:18:09 - QuickTime wird installiert
RP176: 02.11.2011 08:40:53 - Systemprüfpunkt
RP177: 03.11.2011 08:41:58 - Systemprüfpunkt
RP178: 04.11.2011 09:01:44 - Systemprüfpunkt
RP179: 05.11.2011 20:38:08 - Systemprüfpunkt
RP180: 08.11.2011 17:31:51 - Systemprüfpunkt
RP181: 09.11.2011 14:38:15 - Software Distribution Service 3.0
RP182: 12.11.2011 07:43:19 - Software Distribution Service 3.0
RP183: 13.11.2011 18:29:48 - Systemprüfpunkt
RP184: 17.11.2011 13:22:26 - Systemprüfpunkt
RP185: 18.11.2011 17:13:43 - Systemprüfpunkt
RP186: 20.11.2011 16:16:54 - Systemprüfpunkt
RP187: 25.11.2011 19:06:54 - Systemprüfpunkt
RP188: 27.11.2011 11:56:50 - Systemprüfpunkt
RP189: 28.11.2011 17:59:37 - Systemprüfpunkt
RP190: 29.11.2011 19:21:58 - Systemprüfpunkt
RP191: 30.11.2011 20:32:28 - Systemprüfpunkt
RP192: 01.12.2011 23:03:08 - Java(TM) 6 Update 29 wird installiert
RP193: 03.12.2011 12:52:32 - Systemprüfpunkt
.
==== Installed Programs ======================
.
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Agere Systems HDA Modem
Apple Application Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Canon CanoScan Toolbox 4.1
CanoScan LiDE20,30 Manual
dm-Fotowelt
EclipseCrossword
ESET Online Scanner v3
Foxit Reader
Haufe iDesk-Browser
Haufe iDesk-Service
Hotel Mahjong Deluxe v1.0
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB2158563)
Hotfix für Windows XP (KB2443685)
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
Intel(R) Graphics Media Accelerator Driver
Java Auto Updater
Java(TM) 6 Update 29
Lexware Info Service
MahJong Suite 2010 v7.1
MahJong Suite Graphics Pack Volume 1 - v1.8
MahJong Suite Graphics Pack Volume 2 - v2.9
Malwarebytes' Anti-Malware Version 1.51.2.1300
Marvell Miniport Driver
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox (3.6.24)
Mozilla Thunderbird (2.0.0.17)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Need4 Video Converter 9
OpenOffice.org 3.0
QuickSteuer 2011
QuickSteuer Wissens-Center 2011
QuickTime
Realtek High Definition Audio Driver
Search-Results Toolbar
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 7 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2416400)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2482017)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2121546)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2259922)
Sicherheitsupdate für Windows XP (KB2279986)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2296199)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2436673)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2476687)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479628)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485376)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2503658)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2506223)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2511455)
Sicherheitsupdate für Windows XP (KB2524375)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2536276)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981349)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981957)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982665)
Synaptics Pointing Device Driver
Update für Windows Internet Explorer 8 (KB2362765)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows XP (KB2141007)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2607712)
Update für Windows XP (KB2616676)
Update für Windows XP (KB2641690)
Update für Windows XP (KB898461)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
VLC media player 1.1.11
WebFldrs XP
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Messenger 5.1
.
==== End Of File ===========================

01.12.2011, 23:20	#12
Larusso /// Selecta Jahrusso	Mehrere Trojaner auf meinen PC durch Facebook Lies einfach die Anleitung. Es gibt keine Anleitung zur Anleitung. __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

Mehrere Trojaner auf meinen PC durch Facebook

Log-Analyse und Auswertung: Mehrere Trojaner auf meinen PC durch Facebook