Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo,
anbei das Combo-Fix Log:

Code: Alles auswählenAufklappen

ATTFilter

Combofix Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
ComboFix 12-02-22.01 - just 26.02.2012  14:50:25.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2038.1598 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\just\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\just\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\just\Anwendungsdaten\vso_ts_preview.xml
c:\dokumente und einstellungen\just\Favoriten\Thumbs.db
c:\windows\IsUn0407.exe
c:\windows\system32\_000213_.tmp.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-26 bis 2012-02-26  ))))))))))))))))))))))))))))))
.
.
2012-02-21 20:25 . 2012-02-21 20:25	--------	d-----w-	C:\_OTL
2012-02-15 16:40 . 2012-02-15 16:40	--------	d-----w-	c:\programme\ESET
2012-02-10 17:13 . 2011-06-21 10:24	32768	----a-w-	c:\windows\system32\drivers\sp_rsdrv2.sys
2012-02-10 17:13 . 2012-02-10 17:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2012-02-10 17:13 . 2012-02-10 17:13	--------	d-----w-	c:\dokumente und einstellungen\just\Anwendungsdaten\Spyware Terminator
2012-02-10 17:12 . 2012-02-10 17:13	--------	d-----w-	c:\programme\Spyware Terminator
2012-02-10 15:52 . 2012-02-10 15:52	--------	d-----w-	c:\dokumente und einstellungen\just\Anwendungsdaten\Malwarebytes
2012-02-10 15:52 . 2012-02-10 15:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-10 15:51 . 2012-02-10 15:52	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-02-10 15:51 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-09 21:14 . 2012-02-09 21:14	--------	d-----w-	c:\windows\system32\wbem\Repository
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-24 17:40 . 2010-11-16 19:29	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-02-24 17:40 . 2011-02-22 16:47	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-12-24 16:11 . 2011-12-24 16:11	1409	----a-w-	c:\windows\QTFont.for
2012-02-21 20:34 . 2011-05-10 18:18	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-11-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-01 126976]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 1388544]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 110592]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-04 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-04 688218]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 88361]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2004-08-17 184320]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AVStation premium"="c:\programme\Samsung\AVStation premium\bin\AVStation agent.exe" [2005-02-25 188416]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-03-17 32768]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2004-11-11 864256]
"Norton Ghost 9.0"="c:\programme\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"CloneCDElbyCDFL"="c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"CloneCDTray"="c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-12-02 73728]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"SUPBackGround"="c:\programme\Samsung\Samsung Update Plus\SUPBackGround.exe" [2010-04-20 300912]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-22 281768]
"SpywareTerminatorShield"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2012-01-10 2775728]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2007-10-9 1085440]
.
c:\dokumente und einstellungen\ulrike\Startmenü\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2007-10-9 1085440]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2007-10-9 1085440]
.
c:\dokumente und einstellungen\just\Startmenü\Programme\Autostart\
Cyber-shot Viewer-Medien-Prüfung.lnk - c:\programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2006-10-7 155648]
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2007-10-9 1085440]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2007-10-9 1085440]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2007-10-9 1085440]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Tobit Radio.fx\\Server\\rfx-server.exe"=
"c:\\Programme\\Tobit Radio.fx\\Client\\rfx-client.exe"=
"c:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminator.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
.
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [29.07.2004 03:33 138780]
R0 R592;R592;c:\windows\system32\drivers\R592.sys [06.07.2005 19:45 54912]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [29.07.2004 04:13 46779]
R1 sp_rsdrv2;Spyware Terminator 2012 Realtime Shield Driver;c:\windows\system32\drivers\sp_rsdrv2.sys [10.02.2012 18:13 32768]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.11.2010 15:33 136360]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [06.07.2005 19:45 4300]
R2 Radio.fx;Radio.fx Server;c:\programme\Tobit Radio.fx\Server\rfx-server.exe [27.10.2010 16:36 3576152]
R2 SmartSurferManager;SmartSurfer Manager;c:\programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe [04.09.2008 13:21 132560]
R2 ST2012_Svc;Spyware Terminator 2012 Realtime Shield Service;c:\programme\Spyware Terminator\st_rsser.exe [10.02.2012 18:13 482992]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [25.08.2008 21:16 47360]
R3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [09.10.2007 19:22 307200]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [09.10.2007 19:22 13824]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [21.02.2008 21:04 26816]
S3 HotSpotFSvc;Hotspot Manager;"c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" --> c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [?]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [13.05.2004 03:58 32640]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-21 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-07-06 09:32]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: Interfaces\{25410E4E-3F82-481C-B82C-DD1CB6662B8F}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\just\Anwendungsdaten\Mozilla\Firefox\Profiles\17jrixwe.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-RealTray - c:\programme\Real\RealPlayer\RealPlay.exe
AddRemove-Copy Utility - c:\windows\IsUn0407.exe
AddRemove-EPSON Photo Print - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-26 14:54
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1156)
c:\windows\system32\igfxsrvc.dll
c:\windows\system32\hccutils.DLL
.
Zeit der Fertigstellung: 2012-02-26  14:56:17
ComboFix-quarantined-files.txt  2012-02-26 13:56
.
Vor Suchlauf: 16 Verzeichnis(se), 10.247.028.736 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 10.217.054.208 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - DB55F3C29A712E28CC6F4C68C2D58C65
         
 
--- --- ---
         

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER - Log:

Code: Alles auswählenAufklappen

ATTFilter

 
GMER Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-26 17:37:44
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 FUJITSU_MHV2080AH rev.00420097
Running: 47qid7h4.exe; Driver: C:\DOKUME~1\just\LOKALE~1\Temp\pxddypoc.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwClose [0xA8A11444]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwCreateFile [0xA8A10C8A]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwCreateKey [0xA8A10958]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwCreateSection [0xA8A12520]
SSDT            B8D36B64                                                                                         ZwCreateThread
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwDeleteKey [0xA8A10A68]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwDeleteValueKey [0xA8A10B5A]
SSDT            B8D36BAF                                                                                         ZwDuplicateObject
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwLoadDriver [0xA8A11780]
SSDT            B8D36B82                                                                                         ZwLoadKey
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwOpenFile [0xA8A10F9C]
SSDT            B8D36B50                                                                                         ZwOpenProcess
SSDT            B8D36B55                                                                                         ZwOpenThread
SSDT            B8D36B8C                                                                                         ZwReplaceKey
SSDT            B8D36B87                                                                                         ZwRestoreKey
SSDT            B8D36BC3                                                                                         ZwSetContextThread
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwSetInformationFile [0xA8A110D2]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwSetValueKey [0xA8A1077E]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwTerminateProcess [0xA8A116C8]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                    ZwWriteFile [0xA8A112BC]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Tobit Radio.fx\Server\rfx-server.exe[352] kernel32.dll!SetUnhandledExceptionFilter  7C810386 5 Bytes  JMP 00637580 C:\Programme\Tobit Radio.fx\Server\rfx-server.exe
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[2532] USER32.dll!SetWindowLongA                77D1DED3 5 Bytes  JMP 106C01A3 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[2532] USER32.dll!SetWindowLongW                77D1DEF1 5 Bytes  JMP 106C0135 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[2532] USER32.dll!GetWindowInfo                 77D1F122 5 Bytes  JMP 10450924 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[2532] USER32.dll!TrackPopupMenu                77D64F16 5 Bytes  JMP 10450ECF C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Programme\Mozilla Firefox\firefox.exe[3720] ntdll.dll!LdrLoadDll                              7C9261CA 5 Bytes  JMP 011C5B60 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                           PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                           PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                           fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                           PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                           PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4                                                           PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                         PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0000f08c0ea2                      
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0000f08c0ea2 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         
 
--- --- ---
         

OSAM - Log:

Code: Alles auswählenAufklappen

ATTFilter

 
OSAM Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:43:15 on 26.02.2012

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 10.0.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Symantec NetDetect.job" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"MagicKBD.cpl" - "SAMSUNG Electronics Co., Ltd." - C:\WINDOWS\system32\MagicKBD.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl
"SYMLIVE" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\just\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"DSL-Manager Service" (TSMPacket) - "T-Systems" - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys
"dsltestSp5 NDIS Protocol Driver" (dsltestSp5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\dsltestSp5.sys
"ElbyCDFL" (ElbyCDFL) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"GearAspiWDM" (GearAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\system32\drivers\GearAspiWDM.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MEMIO" (DOSMEMIO) - ? - C:\WINDOWS\system32\MEMIO.SYS  (File found, but it contains no detailed information)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PQIMount" (PQIMount) - "PowerQuest Corporation" - C:\WINDOWS\system32\drivers\PQIMount.sys
"PQV2i" (PQV2i) - "StorageCraft" - C:\WINDOWS\system32\drivers\PQV2i.sys
"pxddypoc" (pxddypoc) - ? - C:\DOKUME~1\just\LOKALE~1\Temp\pxddypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\DRIVERS\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"Spyware Terminator 2012 Realtime Shield Driver" (sp_rsdrv2) - ? - C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"SYMIDSCO" (SYMIDSCO) - ? - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20051208.051\symidsco.sys  (File not found)
"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{0E6C58A9-F592-4862-B35F-CA45E24003B3} "CloneCD Shell Extension" - "Elaborate Bytes" - C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{E3575A69-CBCB-42D4-89F1-49CF96A26654} "ExtConMenu Class" - ? - C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Program Files\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{F32C83B9-DF1D-42AD-9741-C52909703957} "STShellHandler" - "Crawler.com" - C:\Programme\Spyware Terminator\STShell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Save Flash" - "PilotGroup LLC" - C:\Programme\Save Flash\SaveFlash.dll
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{33564D57-0000-0010-8000-00AA00389B71} "{33564D57-0000-0010-8000-00AA00389B71}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{4064EA35-578D-4073-A834-C96D82CBCF40} "&Save Flash" - "PilotGroup LLC" - C:\Programme\Save Flash\SaveFlash.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"Cyber-shot Viewer-Medien-Prüfung.lnk" - "Sony Corporation" - C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\just\Startmenü\Programme\Autostart\desktop.ini
"DSL-Manager.lnk" - "T-Systems Enterprise Services GmbH" - C:\Programme\DSL-Manager\DslMgr.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AVStation premium" - ? - "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
"CloneCDElbyCDFL" - "Elaborate Bytes AG" - "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"CloneCDTray" - "Elaborate Bytes AG" - "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
"ControlCenter2.0" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
"IndexSearch" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
"LtMoh" - "Agere Systems" - C:\Programme\ltmoh\Ltmoh.exe
"MagicKeyboard" - ? - C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"Norton Ghost 9.0" - "Symantec Corporation" - C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
"PaperPort PTD" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SoundMAXPnP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
"SpywareTerminatorShield" - "Crawler.com" - C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
"SSBkgdUpdate" - "Scansoft, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"SUPBackGround" - ? - C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe  (File found, but it contains no detailed information)
"WinampAgent" - ? - C:\Programme\Winamp\winampa.exe  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe
"DSL-Manager" (TDslMgrService) - "T-Systems Enterprise Services GmbH" - C:\Programme\DSL-Manager\DslMgrSvc.exe
"GEARSecurity" (GEARSecurity) - "GEAR Software" - C:\WINDOWS\System32\GEARSec.exe
"Hotspot Manager" (HotSpotFSvc) - ? - "C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe"  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NMSAccess" (NMSAccess) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Norton Ghost" (Norton Ghost) - "Symantec Corporation" - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
"Radio.fx Server" (Radio.fx) - ? - C:\Programme\Tobit Radio.fx\Server\rfx-server.exe
"Samsung Update Plus" (Samsung Update Plus) - ? - "C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe"  (File not found)
"SmartSurfer Manager" (SmartSurferManager) - "United Internet AG" - C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
"SoundMAX Agent Service" (SoundMAX Agent Service (default)) - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
"Spyware Terminator 2012 Realtime Shield Service" (ST2012_Svc) - "Crawler.com" - C:\Programme\Spyware Terminator\st_rsser.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
 
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

aswMBR.txt:

Code: Alles auswählenAufklappen

ATTFilter

 
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-02-26 17:46:34
-----------------------------
17:46:34.828    OS Version: Windows 5.1.2600 Service Pack 2
17:46:34.828    Number of processors: 1 586 0xD08
17:46:34.828    ComputerName: SAMSUNG  UserName: just
17:46:35.234    Initialize success
17:47:58.953    AVAST engine defs: 12022602
17:48:16.281    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
17:48:16.281    Disk 0 Vendor: FUJITSU_MHV2080AH 00420097 Size: 75922MB BusType: 3
17:48:16.312    Disk 0 MBR read successfully
17:48:16.312    Disk 0 MBR scan
17:48:16.375    Disk 0 unknown MBR code
17:48:16.375    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        40962 MB offset 63
17:48:16.375    Disk 0 Partition - 00     0F Extended LBA             19045 MB offset 83891430
17:48:16.406    Disk 0 Partition 2 00     82   Linux swap              1027 MB offset 122897250
17:48:16.421    Disk 0 Partition 3 00     83        Linux             14880 MB offset 125001765
17:48:16.453    Disk 0 Partition 4 00     0B        FAT32 MSWIN4.1    19045 MB offset 83891493
17:48:16.453    Disk 0 scanning sectors +155477070
17:48:16.546    Disk 0 scanning C:\WINDOWS\system32\drivers
17:48:32.468    Service scanning
17:48:51.468    Modules scanning
17:49:38.984    Disk 0 trace - called modules:
17:49:39.031    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
17:49:39.031    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89bbbab8]
17:49:39.031    3 CLASSPNP.SYS[f765805b] -> nt!IofCallDriver -> \Device\00000082[0x89b2c9e8]
17:49:39.031    5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x89b59940]
17:49:39.359    AVAST engine scan C:\WINDOWS
17:50:23.062    AVAST engine scan C:\WINDOWS\system32
17:59:31.750    AVAST engine scan C:\WINDOWS\system32\drivers
18:00:31.921    AVAST engine scan C:\Dokumente und Einstellungen\just
18:14:22.437    AVAST engine scan C:\Dokumente und Einstellungen\All Users
18:18:03.484    Scan finished successfully
18:21:21.484    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\just\Eigene Dateien\Downloads\MBR.dat"
18:21:21.484    The log file has been saved successfully to "C:\Dokumente und Einstellungen\just\Eigene Dateien\Downloads\aswMBR.txt"
         

Da du Linux-Partitionen hast, wird der unbekannte MBR wohl am GRUB liegen.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

MWB-Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.26.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
just :: SAMSUNG [Administrator]

26.02.2012 18:55:18
mbam-log-2012-02-26 (18-55-18).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 247626
Laufzeit: 37 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

SASP-Logs:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/26/2012 at 08:37 PM

Application Version : 5.0.1144

Core Rules Database Version : 8198
Trace Rules Database Version: 6010

Scan type       : Complete Scan
Total Scan Time : 00:38:12

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 2 (Build 5.01.2600)
Administrator

Memory items scanned      : 576
Memory threats detected   : 0
Registry items scanned    : 33883
Registry threats detected : 0
File items scanned        : 27512
File threats detected     : 34

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\just\Cookies\just@ads.quartermedia[2].txt [ /ads.quartermedia ]
	C:\Dokumente und Einstellungen\just\Cookies\just@adtech[1].txt [ /adtech ]
	C:\Dokumente und Einstellungen\just\Cookies\just@adx.chip[1].txt [ /adx.chip ]
	C:\Dokumente und Einstellungen\just\Cookies\just@apmebf[1].txt [ /apmebf ]
	C:\Dokumente und Einstellungen\just\Cookies\just@bluestreak[2].txt [ /bluestreak ]
	C:\Dokumente und Einstellungen\just\Cookies\just@de.at.atwola[1].txt [ /de.at.atwola ]
	C:\Dokumente und Einstellungen\just\Cookies\just@doubleclick[1].txt [ /doubleclick ]
	C:\Dokumente und Einstellungen\just\Cookies\just@forum.usenext[1].txt [ /forum.usenext ]
	C:\Dokumente und Einstellungen\just\Cookies\just@mediaplex[2].txt [ /mediaplex ]
	C:\Dokumente und Einstellungen\just\Cookies\just@overture[1].txt [ /overture ]
	C:\Dokumente und Einstellungen\just\Cookies\just@smartadserver[1].txt [ /smartadserver ]
	C:\Dokumente und Einstellungen\just\Cookies\just@tradedoubler[1].txt [ /tradedoubler ]
	C:\Dokumente und Einstellungen\just\Cookies\just@traffictrack[1].txt [ /traffictrack ]
	C:\Dokumente und Einstellungen\just\Cookies\just@tto2.traffictrack[1].txt [ /tto2.traffictrack ]
	C:\Dokumente und Einstellungen\just\Cookies\just@usenext[2].txt [ /usenext ]
	C:\Dokumente und Einstellungen\just\Cookies\just@webmasterplan[1].txt [ /webmasterplan ]
	C:\Dokumente und Einstellungen\just\Cookies\just@www.etracker[1].txt [ /www.etracker ]
	C:\Dokumente und Einstellungen\just\Cookies\just@www.mediasoftwareapps[1].txt [ /www.mediasoftwareapps ]
	C:\Dokumente und Einstellungen\just\Cookies\just@www.usenext[2].txt [ /www.usenext ]
	C:\Dokumente und Einstellungen\just\Cookies\just@www.usenext[3].txt [ /www.usenext ]
	C:\Dokumente und Einstellungen\just\Cookies\just@www.windowsmedia[1].txt [ /www.windowsmedia ]
	C:\Dokumente und Einstellungen\just\Cookies\just@xiti[1].txt [ /xiti ]
	C:\Dokumente und Einstellungen\just\Cookies\just@yadro[2].txt [ /yadro ]
	C:\Dokumente und Einstellungen\just\Cookies\just@zanox[1].txt [ /zanox ]
	C:\Dokumente und Einstellungen\just\Cookies\just@pcwelt[1].txt [ /de.sitestat.com ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	ad2.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ULRIKE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\POLSF20B.DEFAULT\COOKIES.SQLITE ]

Heur.Agent/Gen-WhiteBox
	C:\DOKUMENTE UND EINSTELLUNGEN\JUST\EIGENE DATEIEN\DOWNLOADS\INSTALLER_KASPERSKY_TDSSKILLER_2_7_12_0_DEUTSCH.EXE
         

Sieht ok aus, da wurden nur Cookies gefunden. Die können weg.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist das System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Zitat:

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180

Wenn alles ok ist bitte jetzt umgehend das SP3 und den IE8 installieren!!

1. Das SP3 von hier downloaden => Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler (und ja es ist das richtige Paket für dich)
   
2. Alle Programme beenden, Internetverbindung trennen, Virenscanner abstellen!
   
3. SP3 instalieren, Anweisungen folgen - Installation sollte ca. 15-20 Minuten dauern. Kann auch schneller gehen, bei älteren Rechnern dauert es ca. ne halbe Stunde - nach der Installation Rechner neu starten
   
4. IE8-Setup laden und ausführen => Internet Explorer 8 herunterladen - Microsoft Windows

Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist.

Hallo,
habe seit der Entfernung des Blockierbildschirms eigentlich keinerlei Problem verspürt.
Den Internet Explorer benutze ich gar nicht, eine dbzgl. Installation ist deshalb wohl nicht notwendig...
Mein System läuft seit Jahren mit SP2 ohne Probleme, was bringt denn nun eigentlich XP SP3 bzw. bürgt die Installation von SP3 irgendwelche Gefahren?

Viele Grüße.

Zitat:

eine dbzgl. Installation ist deshalb wohl nicht notwendig...

Diesen Irrtum haben leider viele, denn fast niemand weiß, dass der IE eine Kernkomponente von Windows ist und immer so aktuall wie möglich sein sollte

Zitat:

Mein System läuft seit Jahren mit SP2 ohne Probleme, was bringt denn nun eigentlich XP SP3 bzw. bürgt die Installation von SP3 irgendwelche Gefahren?

Sry aber muss ich jetzt echt erklären wozu Updates da sind?

Hallo,
ok, werde mich baldmöglichst um die Installation von XP SP3 und IE8 kümmern, ich melde mich dann wieder.

Falls es bei der Installation des XP SP3 auf meinem alten Rechner irgendetwas zu beachten
gibt, sag mir bitte Bescheid...

Grüße.

Alle Hinweise wurden doch schon gepostet!

Hallo,
habe mittlerweile XP SP3 und IE8 installiert.

Automatische Updates von XP habe ich noch nicht aktiviert, sollte ich dies
nun tun?

Grüße

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo,
könntest du mir nun noch beim Windows update behilflich sein?

wenn ich via IE auf deinen Link "die MS-Updateseite" klicke bekomme ich
die Windows support Seite mit der Meldung

"Möglicherweise können Sie von Windows XP, Windows 2000 oder Windows Server 2003 nicht auf die Windows Update-Website zugreifen, wenn diese Versionen von Windows nicht auf das neueste Service Pack aktualisiert sind"

SP3 ist aber definitiv installiert (wird auch bei Arbeitsplatz/Eigenschaften angegeben)

Was ist zu tun?

Grüße.

Erstell dirmal testweise einen neuen Benutzer mit Adminrechten und geh mit diesem rein.
Probier da das Windows-Update mal aus

Deinem hauptsächlich genutzten User solltest du die Adminrechte entziehen, es ist eine Unsitte ständig mit Adminrechten zu arbeiten!