Hallo,
auf unseren Firmen-PC hat der Gema-Trojaner zugeschlagen. Ich habe bereits erfolglos mit der Kaspersky Rescue CD versucht, das Problem zu beheben.
Nun wollte ich mittels OTLPENet.exe ein Logfile erstellen, jedoch bootet der PC nicht mit der gebrannten CD. Bitte um Hilfe.

Lg

ok, mittlerweile geht das booten von cd, nur kommt kurz nach dem start des bootvorgangs folgende fehlermeldung: \i386\system32\ntoskrnl.exe could not be loaded. The error code is 256

Setup cannot continue. Press any key to exit.

ich weiss echt nicht mehr weiter.

edit:
das mit den Logfiles hat jetzt endlich funktioniert. Sie sind im Anhang zu finden

Zitat:

auf unseren Firmen-PC hat der Gema-Trojaner zugeschlagen.

Seid ihr eine kleine EDV ohne IT-Abteilung? Normalerweise bereinigen wir keine Bürocomputer, siehe auch http://www.trojaner-board.de/108422-...-anfragen.html

ich bin sozusagen die IT-Abteilung...bzw. Firma ist übertrieben

Ok...
Ich nehme mal an, die abgesicherten Modi hast du ausprobiert?
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo,
ja habe ich ausprobiert. mit netzwerktreibern wird zwar gestartet, jedoch kommt dann wieder der gema-screen, ohne dass ich etwas machen kann. die anderen beiden abgesicherten modi starten nicht einmal. es kommt nur ein schwarzer bildschirm mit einem blinken cursor.

lg

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\Temp\yvuirb\setup.exe) - C:\WINDOWS\Temp\yvuirb\setup.exe ()
O31 - SafeBoot: AlternateShell - C:\WINDOWS\Temp\yvuirb\setup.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/04/25 11:00:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2012/03/27 14:39:05 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hnj1Ip2.dat
[2012/03/27 13:57:33 | 000,099,328 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jRhExDDK.exe
[2012/03/27 03:49:29 | 000,046,080 | ---- | M] () -- C:\WINDOWS\System32\Vo1B3V.com
:Files
C:\WINDOWS\Temp\yvuirb
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo,
hab die _OTL gerade geuploaded. Und hier ist das Fix-Log:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\WINDOWS\Temp\yvuirb\setup.exe deleted successfully.
C:\WINDOWS\Temp\yvuirb\setup.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hnj1Ip2.dat moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jRhExDDK.exe moved successfully.
C:\WINDOWS\system32\Vo1B3V.com moved successfully.
========== FILES ==========
C:\WINDOWS\Temp\yvuirb folder moved successfully.
========== COMMANDS ==========
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 04062012_212109
         

lg

Hätte da mal zwei Fragen bevor es weiter geht

1.) Startet Windows wieder und geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo,
sry...ja windows startet wieder und der normale modus geht, allerdings funktioniert die rechte maustaste nicht richtig. weiss nicht, ob das mit dem virus zu tun hat.
Im startmenü vermisse ich nichts und leere Ordner seh ich auch keine.
Und antivir hat mir beim start noch virenmeldungen angezeigt.

lg

Zitat:

Und antivir hat mir beim start noch virenmeldungen angezeigt.

Log dazu posten!!

Hallo,
hat etwas länger gedauert, musste nochmal das System scannen lassen. Hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 06. April 2012  18:30

Es wird nach 3578669 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Mitarbeiterinnen
Computername   : BÜROEG

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  28.06.2011 19:50:38
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  28.06.2011 19:50:38
LUKE.DLL       : 10.3.0.5       45416 Bytes  28.06.2011 19:50:38
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  28.06.2011 19:50:38
AVREG.DLL      : 10.3.0.9       88833 Bytes  13.07.2011 06:53:41
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:28:49
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:16:19
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 20:25:43
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 18:51:53
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 04:20:24
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 04:20:24
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 04:20:24
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 04:20:24
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 04:20:24
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 04:20:24
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 04:20:24
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 04:20:24
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 04:20:24
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 04:20:25
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 22:21:40
VBASE015.VDF   : 7.11.26.179   224768 Bytes  02.04.2012 05:58:14
VBASE016.VDF   : 7.11.26.180     2048 Bytes  02.04.2012 05:58:14
VBASE017.VDF   : 7.11.26.181     2048 Bytes  02.04.2012 05:58:14
VBASE018.VDF   : 7.11.26.182     2048 Bytes  02.04.2012 05:58:14
VBASE019.VDF   : 7.11.26.183     2048 Bytes  02.04.2012 05:58:14
VBASE020.VDF   : 7.11.26.184     2048 Bytes  02.04.2012 05:58:14
VBASE021.VDF   : 7.11.26.185     2048 Bytes  02.04.2012 05:58:15
VBASE022.VDF   : 7.11.26.186     2048 Bytes  02.04.2012 05:58:15
VBASE023.VDF   : 7.11.26.187     2048 Bytes  02.04.2012 05:58:15
VBASE024.VDF   : 7.11.26.188     2048 Bytes  02.04.2012 05:58:15
VBASE025.VDF   : 7.11.26.189     2048 Bytes  02.04.2012 05:58:15
VBASE026.VDF   : 7.11.26.190     2048 Bytes  02.04.2012 05:58:15
VBASE027.VDF   : 7.11.26.191     2048 Bytes  02.04.2012 05:58:15
VBASE028.VDF   : 7.11.26.192     2048 Bytes  02.04.2012 05:58:15
VBASE029.VDF   : 7.11.26.193     2048 Bytes  02.04.2012 05:58:15
VBASE030.VDF   : 7.11.26.194     2048 Bytes  02.04.2012 05:58:15
VBASE031.VDF   : 7.11.26.216    69120 Bytes  03.04.2012 05:58:15
Engineversion  : 8.2.10.36 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  29.10.2011 11:00:30
AESCRIPT.DLL   : 8.1.4.15      442747 Bytes  31.03.2012 22:21:54
AESCN.DLL      : 8.1.8.2       131444 Bytes  28.01.2012 13:27:04
AESBX.DLL      : 8.2.5.5       606579 Bytes  13.03.2012 08:49:28
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 07:20:40
AEPACK.DLL     : 8.2.16.9      807287 Bytes  31.03.2012 22:21:53
AEOFFICE.DLL   : 8.1.2.26      201083 Bytes  03.04.2012 05:58:16
AEHEUR.DLL     : 8.1.4.10     4551031 Bytes  31.03.2012 22:21:51
AEHELP.DLL     : 8.1.19.1      254327 Bytes  03.04.2012 05:58:16
AEGEN.DLL      : 8.1.5.23      409973 Bytes  09.03.2012 06:55:58
AEEXP.DLL      : 8.1.0.27       82293 Bytes  31.03.2012 22:21:54
AEEMU.DLL      : 8.1.3.0       393589 Bytes  29.12.2010 09:16:19
AECORE.DLL     : 8.1.25.6      201078 Bytes  19.03.2012 04:36:55
AEBB.DLL       : 8.1.1.0        53618 Bytes  29.12.2010 09:16:19
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  28.06.2011 19:50:38
AVREP.DLL      : 10.0.0.10     174120 Bytes  19.05.2011 07:25:35
AVARKT.DLL     : 10.0.26.1     255336 Bytes  28.06.2011 19:50:38
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  28.06.2011 19:50:38
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  28.06.2011 19:50:37
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  28.06.2011 19:50:37

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 18. April 2012  18:30

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATICAE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDDXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S40RP7.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BBSvc.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\system32\vsbus.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\s7otranx.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\elotouchscreen.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\monfilt.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\sfhlp02.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\MRESP50.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20120418-182741-05632944\ARK1E.tmp
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2

Die Registry wurde durchsucht ( '1171' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Mitarbeiterinnen'
Beginne mit der Suche in 'C:\WINDOWS'
C:\WINDOWS\system32\elotouchscreen.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\monfilt.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\MRESP50.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\s7otranx.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\sfhlp02.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\vsbus.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
C:\WINDOWS\system32\drivers\netbt.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
C:\WINDOWS\Temp\jar_cache1040911701600430373.tmp
  [0] Archivtyp: ZIP
  --> rrbayfckcjnutxvyzr/wqqpraqxsdofvghvfnyqphd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
C:\WINDOWS\Temp\jar_cache4935761064655293391.tmp
  [0] Archivtyp: ZIP
  --> rrbayfckcjnutxvyzr/wqqpraqxsdofvghvfnyqphd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
C:\WINDOWS\Temp\bbqemx\setup.exe
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Unruy.H.13
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users'
Beginne mit der Suche in 'C:\Programme'

Beginne mit der Desinfektion:
C:\WINDOWS\Temp\bbqemx\setup.exe
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Unruy.H.13
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ca8534c.qua' verschoben!
C:\WINDOWS\Temp\jar_cache4935761064655293391.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '443d7ce7.qua' verschoben!
C:\WINDOWS\Temp\jar_cache1040911701600430373.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1662260f.qua' verschoben!
C:\WINDOWS\system32\drivers\netbt.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\ImagePath> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBT\ImagePath> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\NetBT\ImagePath> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NetBT\ImagePath> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '705769f1.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20120418-182741-05632944\ARK1E.tmp
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.
  [WARNUNG]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\PendingFileRenameOperations> konnte nicht repariert werden.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55137d24.qua' verschoben!
  [WARNUNG]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\PendingFileRenameOperations> konnte nicht repariert werden.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\WINDOWS\system32\MRESP50.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tangoservice\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tangoservice\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tangoservice\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tangoservice\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '19a15af7.qua' verschoben!
C:\WINDOWS\system32\sfhlp02.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\smservaz\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\smservaz\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\smservaz\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\smservaz\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '659c1543.qua' verschoben!
C:\WINDOWS\system32\monfilt.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\server\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\server\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\server\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\server\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cc3a27.qua' verschoben!
C:\WINDOWS\system32\elotouchscreen.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\risdptsk\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\risdptsk\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\risdptsk\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\risdptsk\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51a501ca.qua' verschoben!
C:\WINDOWS\system32\s7otranx.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oracle_load_balancer_60_server-forms6ip9\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oracle_load_balancer_60_server-forms6ip9\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oracle_load_balancer_60_server-forms6ip9\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\oracle_load_balancer_60_server-forms6ip9\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3df92da5.qua' verschoben!
C:\WINDOWS\system32\vsbus.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.BV.2
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ipodsrv\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ipodsrv\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ipodsrv\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ipodsrv\Parameters\ServiceDll> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c4d1444.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 18. April 2012  19:20
Benötigte Zeit: 47:16 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  12772 Verzeichnisse wurden überprüft
 419372 Dateien wurden geprüft
     17 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     11 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 419355 Dateien ohne Befall
   3776 Archive wurden durchsucht
      1 Warnungen
     11 Hinweise
         

lg

Du hast offensichtlich einen ZeroAccess (= Sirefef) drauf, der ist immer ungemütlich.
Ich würde dir erstmal für den Fall der Fälle eine Datensicherung empfehlen und dich darauf vorzubereiten, eine komplette Neuinstallation von Windows durchzuführen, den ZA kann man nämlich nicht immer per Bereinigung entfernen!

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote wieder Windows


Wenn du dir sicher bist, dass du auch Daten unter Linux gesichert hast, führst du mal Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo,
habe soeben die Datensicherung abgeschlossen und mit ComboFix angefangen. Nur ist jetzt das Problem, dass sich ComboFix zwar öffnet, nur um sich dann wieder zu schließen und selbst zu löschen

Lg

Dann haben wir wohl schlechte Karten. Probier CF nochmal im abgesicherten Modus mit Netzwerk aus. Geht das nicht, würde ich eine Neuinstallation machen

Hallo,
sry für meine lange abstinenz. Im abgesicherten Modus hats tatsächlich funktioniert mit ComboFix. Ich muss aber dazu sagen, trotz deaktiviertem AntiVir kam eine Meldung, dass noch Echtzeitscanner laufen würden.

Hier jedenfalls mal das Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-04-06.03 - Mitarbeiterinnen 06.04.2012  15:03:19.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2037.1565 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\$NtUninstallKB64535$
c:\windows\$NtUninstallKB64535$\1688739603
c:\windows\$NtUninstallKB64535$\304016905\@
c:\windows\$NtUninstallKB64535$\304016905\cfg.ini
c:\windows\$NtUninstallKB64535$\304016905\Desktop.ini
c:\windows\$NtUninstallKB64535$\304016905\L\epaqrqou
c:\windows\system32\dds_trash_log.cmd
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\SET56.tmp
c:\windows\system32\SET5A.tmp
c:\windows\system32\SET5B.tmp
c:\windows\system32\SET62.tmp
.
c:\windows\system32\drivers\Serial.sys fehlte 
Kopie von - c:\system volume information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP250\A0106105.sys wurde wiederhergestellt
.
c:\windows\system32\drivers\i8042prt.sys . . . fehlt!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-06 bis 2012-04-06  ))))))))))))))))))))))))))))))
.
.
2012-04-07 01:21 . 2012-04-07 01:21	--------	d-----w-	C:\_OTL
2012-04-06 13:18 . 2008-04-14 12:00	65536	-c--a-w-	c:\windows\system32\dllcache\serial.sys
2012-04-06 13:18 . 2008-04-14 12:00	65536	----a-w-	c:\windows\system32\drivers\Serial.sys
2012-04-06 12:50 . 2012-04-06 12:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2012-04-04 23:12 . 2012-01-31 06:56	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-04-04 23:12 . 2012-01-31 06:56	137416	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-04-04 23:12 . 2011-09-16 14:08	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-04-04 23:12 . 2012-04-04 23:12	--------	d-----w-	c:\programme\Avira
2012-04-04 23:12 . 2012-04-04 23:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-04-04 09:43 . 2012-04-04 10:17	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-04-03 16:35 . 2012-04-03 16:35	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2012-03-29 12:39 . 2012-03-29 12:39	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-03-27 07:53 . 2012-03-27 07:53	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\PrivacIE
2012-03-27 02:18 . 2012-03-27 02:18	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-26 21:06 . 2012-03-27 07:52	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2012-03-26 21:05 . 2012-03-26 21:05	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2012-03-26 20:49 . 2012-03-26 20:49	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-03-19 10:24 . 2012-03-19 10:24	592824	----a-w-	c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-19 10:24 . 2012-03-19 10:24	44472	----a-w-	c:\programme\Mozilla Firefox\mozglue.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-06 19:28 . 2012-04-06 19:28	484331	----a-w-	C:\_OTL.zip
2012-02-03 09:56 . 2008-04-25 09:46	1869312	----a-w-	c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-15 12:11	3072	------w-	c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2008-04-25 14:56	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-19 10:24 . 2011-03-22 15:00	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2010-08-04 13:59 . 2010-06-12 19:13	119808	----a-w-	c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-07-16 1044480]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-16 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-16 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-16 141848]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2009-02-04 128232]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-04 30192]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2009-02-10 745472]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-10-30 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [10.06.2009 19:46 24064]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [05.04.2012 01:12 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.04.2012 01:12 86224]
R2 BBSvc;Bing Bar Update Service;c:\programme\Microsoft\BingBar\BBSvc.EXE [21.10.2011 16:23 196176]
R2 BBUpdate;BBUpdate;c:\programme\Microsoft\BingBar\SeaPort.EXE [13.10.2011 18:21 249648]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09.10.2007 13:13 38144]
R3 k57w2k;Broadcom NetLink (TM) Gigabit Ethernet;c:\windows\system32\drivers\k57xp32.sys [10.06.2009 19:46 176640]
S2 gupdate1c9fe742702f91c;Google Update Service (gupdate1c9fe742702f91c);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2009 21:58 133104]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [12.06.2010 21:13 30192]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2009 21:58 133104]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28.12.2007 15:02 287232]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
IJPLMSVC
kservice
KS0108
LVCap138
remoterecord
ddxgb
server
oracle_load_balancer_60_server-forms6ip9
ipodsrv
risdptsk
smservaz
tangoservice
AMDPCI
vpcvmm
mssqlserveradhelper
portmapper
PciBus
ivscheduler
.
Inhalt des "geplante Tasks" Ordners
.
2010-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-09-09 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-06 20:47]
.
2012-03-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd0b8ef6535872.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-06 19:58]
.
2010-01-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-06 19:58]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{A749DD10-C267-46C3-8F88-5FEF3188A1DA}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Dokumente%20und%20Einstellungen/Mitarbeiterinnen/Eigene%20Dateien/Verwaltung/Sonstiges/System/bwb-menu.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-06 15:29
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\dokume~1\MITARB~1\LOKALE~1\Temp\~DF6A86.tmp 16384 bytes
c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\parent.lock
c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\places.sqlite-shm
c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\places.sqlite-wal
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 4
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,93,e1,8f,82,81,10,10,49,93,c7,9e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,93,e1,8f,82,81,10,10,49,93,c7,9e,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3968)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Google\Update\1.3.21.111\GoogleCrashHandler.exe
c:\windows\system32\SearchIndexer.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Brother\Brmfcmon\BrMfcmon.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-06  15:36:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-04-06 13:36
.
Vor Suchlauf: 14 Verzeichnis(se), 97.032.343.552 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 98.071.433.216 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0750CC4E53D02BAF58819D88F4262D93
         

lg

edit: und seit dem combofix-durchlauf geht die rechte Maustaste wieder ganz normal...