Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef

Andi87 · 07.03.2012, 15:42

Hallo Zusammen,

mein MSE hat gestern folgendene Trojaner gemeldet:

Trojan:Win32/Sirefef.P
Trojan:Win32/Sirefef.AA

Nach dem Entfernen und nach einem Neustart des PCs waren es auf einmal 7 Trojaner, die ständig in unterschiedlichen Mengen wieder kehren und sich nicht richtig entfernen lassen.. dabei sind:

Trojan:Win32/Sirefef.AA; P; I + J
Trojan:Win64/Sirefef.E
Trojandropper:Win32/Sirefef.N
Trojan:Win32/Conedex:A; B + C

Meine bisherigen Unternehmungen:

Microsoft Security Essentials - Vollständiger Scan
Stinger - Vollständiger Scan
SpyBot Search&Destroy 2 - Vollständiger Scan
Superantispyware - Vollständiger Scan
Microsoft Tool zum Entfernen bösartiger Software - Vollständiger Scan
ZeroAccess Removal Tool - Vollständiger Scan (speziell zum entfernen von ZeroAccess und Sirefef)[Quelle: hxxp://www.computerwissen.de/]

waren leider alle erfolglos..

Nachdem ich hier verschiedene Beiträge zum Thema Sirefef gelesen habe, habe ich schonmal vorsichtshalber meinen Onlinebankingzugang sperren lassen.

Nun habe ich einige Fragen und hoffe Sie können mir helfen.

- Ich habe hier gelesen, dass man scheinbar nicht drum herum kommt, den PC neu aufzusetzen.

Wie genau mache ich das, bzw was muss ich beachten damit der Trojaner entgültig verschwindet?

- Da ich meinen PC vor einigen Jahren als Komplettpaket (mit aufgespieltem WinXP) gekauft habe und mich auch nicht wirklich gut mit PCs auskenne, habe ich leider keine Windows CD/Kopie.

Gibt es eventuell noch einen anderen Weg?

Bin mir nicht ganz sicher wie man Logfiles von MSE bekommt.. Habe erstmal nur eine von SUPERAntiSpyware mit reingestellt. Wenn mehr benötigt werden bitte kurze anleitung..

Mit freundlichen Grüßen..

Andi

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/07/2012 at 03:28 PM

Application Version : 5.0.1144

Core Rules Database Version : 8309
Trace Rules Database Version: 6121

Scan type       : Quick Scan
Total Scan Time : 00:07:02

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 439
Memory threats detected   : 0
Registry items scanned    : 30833
Registry threats detected : 1
File items scanned        : 8322
File threats detected     : 7

Malware.Trace
	HKU\S-1-5-21-452520721-3089936189-3372369657-1006\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON#SHELL

Adware.Tracking Cookie
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.statcounter.com [ C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER1\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

Chris4You · 07.03.2012, 16:08

Hi,

das kann kompliziert werden...
SASW sollte Fullscan laufen, MAM auch...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.

Vista und Win7 User mit Rechtsklick "als Administrator starten"

Das Tool braucht nur eine Sekunde.

Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

chris

Andi87 · 07.03.2012, 17:18

Hallo Chris,
Super, erstmal vielen Dank für die rasche antwort

Ich hoffe das ist jetzt richtig so..

mfg

Andi87 · 07.03.2012, 17:35

Jetzt hab ich gepennt.. hier nochmal als gesamtpaket

Chris4You · 07.03.2012, 20:11

Hi,

das sieht ziemlich übel aus, bitte Backup von wichtigen Daten machen...

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
SRV - (Pasa40rwa) --  File not found
SRV - (LightScribeService) --  File not found
SRV - (gupdate) Google Update Service (gupdate) --  File not found
SRV - (AppMgmt) --  File not found
DRV - (WDICA) --  File not found
DRV - (wanatw) WAN Miniport (ATW) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (dump_wmimmc) --  File not found
DRV - (Changer) --  File not found
DRV - (MpKsle9038569) -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{F772350D-262F-4370-919E-6A9BE76E3584}\MpKsle9038569.sys (Microsoft Corporation)
IE - HKCU\..\URLSearchHook:  - No CLSID value found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No CLSID value found.
O2 - BHO: (Reg Error: Value error.) - {906F7C61-CAF7-9073-F3A8-BFDEB5C50FC2} - C:\WINDOWS\system32\uxsl.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\6135b129\X) -  File not found
O32 - AutoRun File - [2011.05.15 22:57:56 | 000,000,747 | ---- | M] () - C:\AutoRun_Log(0000).txt -- [ NTFS ]
O33 - MountPoints2\{90887f8c-e4df-11dd-8104-0013d3d98e76}\Shell - "" = AutoRun
O33 - MountPoints2\{90887f8c-e4df-11dd-8104-0013d3d98e76}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{90887f8c-e4df-11dd-8104-0013d3d98e76}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nircmd.exe execmd CALL batexe\progstart.bat
O33 - MountPoints2\{bd9224e4-1a23-11da-b762-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{bd9224e4-1a23-11da-b762-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bd9224e4-1a23-11da-b762-806d6172696f}\Shell\AutoRun\command - "" = G:\english\windows\office7\setup.exe
[2012.03.06 18:36:35 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\6135b129
@Alternate Data Stream - 1172 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:bpPJ3qiRDMI71VixpLT7KlL
@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E41EAF13
@Alternate Data Stream - 1075 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:297lynxYNKwv5KsxXpe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = dword:0x00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = dword:0x00


:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Da ist ein Treiber von Microsoft dabei... allerdings im "falschen" Verzeichnis...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Andi87 · 09.03.2012, 19:41

Hi.
Also hat soweit geklappt das der PC noch "lebt"

Hier die OTL Log:

Code:

ATTFilter

All processes killed
========== OTL ==========
Service Pasa40rwa stopped successfully!
Service Pasa40rwa deleted successfully!
File   File not found not found.
Service LightScribeService stopped successfully!
Service LightScribeService deleted successfully!
File   File not found not found.
Error: No service named gupdate) Google Update Service (gupdate was found to stop!
Service\Driver key gupdate) Google Update Service (gupdate not found.
File   File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File   File not found not found.
Service WDICA stopped successfully!
Service WDICA deleted successfully!
File   File not found not found.
Error: No service named wanatw) WAN Miniport (ATW was found to stop!
Service\Driver key wanatw) WAN Miniport (ATW not found.
File   File not found not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
File   File not found not found.
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
File   File not found not found.
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
File   File not found not found.
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
File   File not found not found.
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
File   File not found not found.
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
File   File not found not found.
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
File   File not found not found.
Service dump_wmimmc stopped successfully!
Service dump_wmimmc deleted successfully!
File   File not found not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
File   File not found not found.
Error: No service named MpKsle9038569 was found to stop!
Service\Driver key MpKsle9038569 not found.
File  c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{F772350D-262F-4370-919E-6A9BE76E3584}\MpKsle9038569.sys  not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9030D464-4C02-4ABF-8ECC-5164760863C6}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{906F7C61-CAF7-9073-F3A8-BFDEB5C50FC2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{906F7C61-CAF7-9073-F3A8-BFDEB5C50FC2}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{37B85A29-692B-4205-9CAD-2626E4993404} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{37B85A29-692B-4205-9CAD-2626E4993404} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{37B85A29-692B-4205-9CAD-2626E4993404} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\6135b129\X deleted successfully.
C:\AutoRun_Log(0000).txt moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90887f8c-e4df-11dd-8104-0013d3d98e76}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90887f8c-e4df-11dd-8104-0013d3d98e76}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90887f8c-e4df-11dd-8104-0013d3d98e76}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90887f8c-e4df-11dd-8104-0013d3d98e76}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90887f8c-e4df-11dd-8104-0013d3d98e76}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90887f8c-e4df-11dd-8104-0013d3d98e76}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nircmd.exe execmd CALL batexe\progstart.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd9224e4-1a23-11da-b762-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bd9224e4-1a23-11da-b762-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd9224e4-1a23-11da-b762-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bd9224e4-1a23-11da-b762-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd9224e4-1a23-11da-b762-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bd9224e4-1a23-11da-b762-806d6172696f}\ not found.
File G:\english\windows\office7\setup.exe not found.
C:\Dokumente und Einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\6135b129\U folder moved successfully.
C:\Dokumente und Einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\6135b129 folder moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:bpPJ3qiRDMI71VixpLT7KlL deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E41EAF13 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:297lynxYNKwv5KsxXpe deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\\"DisableSR" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr\\"Start" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: benutzer1
->Temp folder emptied: 3076498783 bytes
->Temporary Internet Files folder emptied: 292925571 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 61522376 bytes
->Google Chrome cache emptied: 9600260 bytes
->Flash cache emptied: 8552 bytes
 
User: Besitzer
 
User: Besitzer.COMPUTERNAME
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 474 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 147590 bytes
->Flash cache emptied: 711 bytes
 
User: Gast
->Temp folder emptied: 7853912 bytes
->Temporary Internet Files folder emptied: 5528415 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 627 bytes
 
User: LocalService
->Temp folder emptied: 3496 bytes
->Temporary Internet Files folder emptied: 344565 bytes
 
User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 11400352 bytes
->Temporary Internet Files folder emptied: 1886484 bytes
 
User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 147590 bytes
->Flash cache emptied: 711 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 18682740 bytes
%systemroot%\System32 .tmp files removed: 8832135 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2146382 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3.336,00 mb
 
 
OTL by OldTimer - Version 3.2.35.1 log created on 03092012_174647

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

und die ComboFix Log:

Code:

ATTFilter

ComboFix 12-03-09.05 - benutzer1 09.03.2012  19:15:17.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2815.2427 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\benutzer1\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\benutzer1\mp418.tmp
c:\dokumente und einstellungen\benutzer1\WINDOWS
c:\programme\Gemeinsame Dateien\mkwz
c:\programme\Gemeinsame Dateien\mkwz\mkwza.lck
c:\programme\Gemeinsame Dateien\mkwz\mkwzd\class-barrel
c:\programme\Gemeinsame Dateien\mkwz\mkwzh
c:\programme\Gemeinsame Dateien\mkwz\mkwzl.lck
c:\programme\Gemeinsame Dateien\mkwz\mkwzm.lck
c:\windows\$NtUninstallKB12259$
c:\windows\$NtUninstallKB12259$\1630908713\@
c:\windows\$NtUninstallKB12259$\1630908713\L\anlkljnd
c:\windows\$NtUninstallKB12259$\1630908713\loader.tlb
c:\windows\$NtUninstallKB12259$\1630908713\U\@00000001
c:\windows\$NtUninstallKB12259$\1630908713\U\@000000c0
c:\windows\$NtUninstallKB12259$\1630908713\U\@000000cb
c:\windows\$NtUninstallKB12259$\1630908713\U\@000000cf
c:\windows\$NtUninstallKB12259$\1630908713\U\@80000000
c:\windows\$NtUninstallKB12259$\1630908713\U\@800000c0
c:\windows\$NtUninstallKB12259$\1630908713\U\@800000cb
c:\windows\$NtUninstallKB12259$\1630908713\U\@800000cf
c:\windows\$NtUninstallKB12259$\35059141
c:\windows\IsUn0407.exe
c:\windows\racle~1
c:\windows\racle~2
c:\windows\sstem3~1
c:\windows\system32\ymbols~1
c:\windows\unin0407.exe
c:\windows\WinUpdaterstd
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-09 bis 2012-03-09  ))))))))))))))))))))))))))))))
.
.
2012-03-09 16:46 . 2012-03-09 16:46	--------	d-----w-	C:\_OTL
2012-03-07 16:11 . 2012-03-07 16:11	--------	d-----w-	c:\programme\7-Zip
2012-03-07 15:47 . 2012-03-07 15:51	--------	d-----w-	C:\TDSS
2012-03-07 11:54 . 2012-03-07 11:54	335504	----a-w-	c:\windows\system32\drivers\TrufosAlt.sys
2012-03-07 10:13 . 2012-03-07 10:45	--------	d-----w-	c:\programme\TibiaBot NG
2012-03-07 08:19 . 2012-02-10 03:04	54272	----a-w-	c:\windows\system32\nvwddi.dll
2012-03-07 08:17 . 2012-03-07 08:17	292700	----a-w-	c:\windows\system32\nvdrsdb0.bin
2012-03-07 08:17 . 2012-03-07 08:17	1	----a-w-	c:\windows\system32\nvdrssel.bin
2012-03-07 08:17 . 2012-03-07 08:17	292700	----a-w-	c:\windows\system32\nvdrsdb1.bin
2012-03-07 08:15 . 2012-02-10 04:10	881984	----a-w-	c:\windows\system32\nvgenco32.dll
2012-03-07 08:15 . 2012-02-10 04:10	65536	----a-w-	c:\windows\system32\OpenCL.dll
2012-03-07 08:15 . 2012-02-10 04:10	18620416	----a-w-	c:\windows\system32\nvoglnt.dll
2012-03-07 08:15 . 2012-02-10 04:10	1000256	----a-w-	c:\windows\system32\nvdispco32.dll
2012-03-07 08:15 . 2012-02-10 04:10	5918720	----a-w-	c:\windows\system32\nvcuda.dll
2012-03-07 08:15 . 2012-02-10 04:10	2522944	----a-w-	c:\windows\system32\nvcuvid.dll
2012-03-07 08:15 . 2012-02-10 04:10	2437440	----a-w-	c:\windows\system32\nvcuvenc.dll
2012-03-07 08:15 . 2012-02-10 04:10	2292224	----a-w-	c:\windows\system32\nvapi.dll
2012-03-07 08:15 . 2012-02-10 04:10	17534976	----a-w-	c:\windows\system32\nvcompiler.dll
2012-03-07 07:26 . 2012-03-07 07:26	--------	d-----w-	c:\programme\Microsoft Silverlight
2012-03-07 02:32 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2012-03-07 02:20 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2012-03-07 02:19 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2012-03-07 02:19 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2012-03-07 02:17 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2012-03-07 02:15 . 2011-06-24 14:10	139656	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2012-03-07 02:13 . 2011-04-21 13:37	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2012-03-07 02:09 . 2011-12-17 19:43	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2012-03-07 02:01 . 2010-06-18 13:36	3558912	-c----w-	c:\windows\system32\dllcache\moviemk.exe
2012-03-07 01:33 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2012-03-07 01:30 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2012-03-07 01:27 . 2012-03-07 07:43	--------	d--h--w-	c:\windows\$hf_mig$
2012-03-07 00:40 . 2012-03-07 00:40	--------	d-----w-	c:\dokumente und einstellungen\benutzer1\Anwendungsdaten\SUPERAntiSpyware.com
2012-03-07 00:40 . 2012-03-07 00:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-03-06 23:31 . 2009-01-25 11:14	15224	----a-w-	c:\windows\system32\sdnclean.exe
2012-03-06 23:31 . 2012-03-06 23:32	--------	d-----w-	c:\programme\Spybot - Search & Destroy 2
2012-03-06 23:11 . 2012-03-06 23:11	--------	d-----w-	c:\dokumente und einstellungen\benutzer1\Anwendungsdaten\ElevatedDiagnostics
2012-03-06 21:57 . 2012-03-06 22:10	14664	----a-w-	c:\windows\stinger.sys
2012-03-06 21:57 . 2012-03-06 21:56	159608	----a-w-	c:\windows\system32\mfevtps.exe.2efd.deleteme
2012-03-06 21:56 . 2012-03-06 22:15	--------	d-----w-	c:\programme\stinger
2012-03-06 21:35 . 2012-03-06 21:35	--------	d-----w-	c:\dokumente und einstellungen\benutzer1\Anwendungsdaten\DDMSettings
2012-03-06 21:26 . 2012-03-06 21:27	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2012-03-06 21:25 . 2012-03-06 21:27	--------	d-----w-	c:\programme\DivX
2012-03-06 17:38 . 2012-03-06 17:38	0	--sha-w-	c:\windows\system32\dds_log_trash.cmd
2012-02-15 02:34 . 2012-02-18 17:51	--------	d-----w-	c:\programme\ElfBot NG
2012-02-09 20:09 . 2012-02-09 20:09	--------	d-----w-	c:\programme\TUGBot
2012-02-09 12:48 . 2012-02-22 03:28	--------	d-----w-	c:\dokumente und einstellungen\benutzer1\Anwendungsdaten\Omgikoz
2012-02-09 12:48 . 2012-02-09 13:19	--------	d-----w-	c:\dokumente und einstellungen\benutzer1\Anwendungsdaten\Yhkousw
2012-02-08 18:31 . 2012-02-08 18:32	--------	dc-h--w-	c:\windows\ie8
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-10 04:10 . 2005-08-31 09:39	4309760	----a-w-	c:\windows\system32\nv4_disp.dll
2012-02-10 04:10 . 2005-08-31 09:39	13415040	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2012-01-31 12:44 . 2009-12-25 21:28	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-01-12 17:20 . 2005-08-30 15:09	1860096	----a-w-	c:\windows\system32\win32k.sys
2012-01-04 00:48 . 2012-01-04 00:48	354176	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
2011-12-17 19:43 . 2005-08-30 15:09	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2005-08-30 15:09	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2005-08-30 15:09	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2005-08-30 15:09	385024	----a-w-	c:\windows\system32\html.iec
2012-02-18 20:46 . 2011-05-12 19:40	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-02-10 15494464]
"NvMediaCenter"="NvMCTray.dll" [2012-02-10 108352]
"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2012-02-10 1634112]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^benutzer1^Startmenü^Programme^Autostart^StarOffice 7.lnk]
path=c:\dokumente und einstellungen\benutzer1\Startmenü\Programme\Autostart\StarOffice 7.lnk
backup=c:\windows\pss\StarOffice 7.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mbvdics]
c:\programme\??sks\w?wexec.exe [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37	843712	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
2004-05-17 16:30	543232	----a-w-	c:\windows\zHotkey.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON BX300F Series]
2008-01-22 15:00	188928	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIEJE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-03-06 23:50	136176	----atw-	c:\dokumente und einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2012-02-10 03:04	15494464	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2012-02-10 03:04	108352	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2012-02-10 04:10	1634112	----a-w-	c:\programme\NVIDIA Corporation\nview\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
2012-02-07 16:19	3865504	----a-w-	c:\programme\Spybot - Search & Destroy 2\SDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spybot-S&D Cleaning]
2012-02-07 16:18	2972056	----a-w-	c:\programme\Spybot - Search & Destroy 2\SDCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2011-12-01 21:24	1242448	----a-w-	c:\programme\Steam\Steam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 11:06	254696	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
"Adobe Version Cue CS2"="c:\programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\BlueByte\\Siedler3\\S3.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Tibia\\Tibia.exe"=
"c:\\Programme\\Reality Pump\\Earth 2160\\Earth2160_NO_SSE.exe"=
"c:\\Programme\\Reality Pump\\Earth 2160\\Earth2160_SSE.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\ICQ7.6\\ICQ.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Steam\\SteamApps\\general_peacemaker\\counter-strike\\hl.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\benutzer1\\Desktop\\DivXInstaller.exe"=
"c:\\Programme\\DivX\\DivX Update\\DivXUpdate.exe"=
"c:\\Dokumente und Einstellungen\\benutzer1\\Lokale Einstellungen\\Temp\\jivexviewer\\jre\\bin\\JiveX[dv] light"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Mozilla Firefox\\plugin-container.exe"=
"c:\\Programme\\Asprate\\Tibia Multi IP Changer\\Ip Changer Updater.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDTray.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDFSSvc.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdate.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdSvc.exe"=
"c:\\Dokumente und Einstellungen\\benutzer1\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Dokumente und Einstellungen\\benutzer1\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
.
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [07.03.2012 09:20 2348352]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [31.08.2005 09:12 1287296]
S1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\BENUTZ~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\BENUTZ~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\BENUTZ~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS --> c:\dokume~1\BENUTZ~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS [?]
S3 gupdate;Google Update Service (gupdate);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);c:\windows\system32\drivers\k510bus.sys [27.02.2007 21:47 58288]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02.08.2009 00:27 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02.08.2009 00:27 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02.08.2009 00:27 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02.08.2009 00:27 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02.08.2009 00:27 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02.08.2009 00:27 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02.08.2009 00:27 115752]
S3 SDScannerService;Spybot-S&D 2 Scanner Service;c:\programme\Spybot - Search & Destroy 2\SDFSSvc.exe [07.03.2012 00:31 1181104]
S3 SDUpdateService;Spybot-S&D 2 Updating Service;c:\programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [07.03.2012 00:31 1185704]
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-452520721-3089936189-3372369657-1006Core.job
- c:\dokumente und einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2012-03-06 23:50]
.
2012-03-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-452520721-3089936189-3372369657-1006UA.job
- c:\dokumente und einstellungen\benutzer1\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2012-03-06 23:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uDefault_Search_URL = 
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mWindow Title = Microsoft Internet Explorer
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Add to Windows &Live Favorites - hxxp://favorites.live.com/quickadd.aspx
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\programme\ICQ7.6\ICQ.exe
TCP: Interfaces\{57026CE5-6126-4AAC-965C-AFD3F0D2FE50}: NameServer = 192.168.2.1
TCP: Interfaces\{5787B2E5-1182-4A81-8A08-9760081566CB}: NameServer = 195.50.140.252,192.50.140.114
DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - hxxp://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
FF - ProfilePath - c:\dokumente und einstellungen\benutzer1\Anwendungsdaten\Mozilla\Firefox\Profiles\ms23l7gr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2319825&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-SDWinLogon - SDWinLogon.dll
SafeBoot-31165611.sys
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-codqdrhm - c:\dokumente und einstellungen\benutzer1\lokale einstellungen\anwendungsdaten\codqdrhm.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
MSConfigStartUp-mkwz - c:\progra~1\GEMEIN~1\mkwz\mkwzm.exe
MSConfigStartUp-NeroFilterCheck - c:\windows\system32\NeroCheck.exe
MSConfigStartUp-outlook - c:\programme\outlook\outlook.exe
MSConfigStartUp-QuickTime Task - c:\programme\QuickTime\qttask.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-swesa - c:\dokumente und einstellungen\benutzer1\lokale einstellungen\anwendungsdaten\swesa.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-Tmto - c:\dokume~1\BENUTZ~1\ANWEND~1\STEM32~1\wowexec.exe
MSConfigStartUp-Veoh - c:\programme\Veoh Networks\Veoh\VeohClient.exe
MSConfigStartUp-winlog - winlog.exe
AddRemove-Counter Strike 1.6 Podbot waypoints 1.1 - c:\programme\Steam\SteamApps\general_peacemaker\counter-strike\cstrike\Uninstall.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-S3 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-09 19:24
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1368)
c:\programme\NVIDIA Corporation\nview\nview.dll
c:\programme\NVIDIA Corporation\nview\NVWRSDE.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RunDLL32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-09  19:28:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-09 18:28
.
Vor Suchlauf: 19 Verzeichnis(se), 50.866.765.824 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 50.813.722.624 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - E62B2E33AC4BB45839840929A373E7BD

Mfg

Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef

Plagegeister aller Art und deren Bekämpfung: Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef