Hallo zusammen,

ich bin mir ziemlich sicher, dass ich mir gestern einen GVU Trojaner eingefangen habe (können auch noch andere an Bord meines Systems sein...). Ich habe Eure Anleitung soweit ich konnte durchgeführt und hänge Euch die Logs an diesen Text.
Bei der Ausführung von GMER ist mein System abgeschmiert (BlueScreen). Ich habe die Problemsignatur von Microsoft auch mal in ein Log gepackt und Euch beigefügt.

Wie ich in anderen Threds gelesen habe werde ich jetzt mal einen Vollscan mit Malwarebytes durchführen und dann hier später das Ergebnis posten.

Ich hoffe auf Eure Hilfe und sag' schon mal tausend Dank!

Cheers,

MiXtA

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) 
DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.search.update: false 
FF - prefs.js..browser.startup.homepage: "www.google.de" 
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004 
FF - user.js - File not found 
FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found 
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) 
O3 - HKCU\..\Toolbar\WebBrowser: (Burn4Free Toolbar) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll () 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [DeltTray] C:\WINDOWS\System32\delttray.exe (Doug Fetter Software Wizardry) 
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009.04.26 22:46:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - M:\autoexec.bat -- [ NTFS ] 
O32 - AutoRun File - [2010.08.30 11:53:32 | 000,377,470 | R--- | M] () - X:\autorun.ico -- [ UDF ] 
O32 - AutoRun File - [2010.08.18 17:10:14 | 000,000,070 | R--- | M] () - X:\autorun.inf -- [ UDF ] 
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.07.31 19:29:33 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012.07.31 19:29:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mickster\Anwendungsdaten\DNA 
[2012.07.31 09:36:12 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012.07.30 22:43:31 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad 
[2012.07.30 22:39:38 | 000,001,621 | ---- | M] () -- C:\Dokumente und Einstellungen\Mickster\Startmenü\Programme\Autostart\ctfmon.lnk 
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t'john,

anbei noch das Ergebnis von Malewarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.31.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Mickster :: M [Administrator]

31.07.2012 23:16:38
mbam-log-2012-08-01 (08-04-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|M:\|O:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 637459
Laufzeit: 1 Stunde(n), 45 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Mickster\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.
         

Soll ich trotzdem mit OLT vorgehen wie oben beschieben?

Cheers,

MiXtA

Ja, nauerlich!

OTL Fix durchfuehren!

So, t'john,

schon mal danke für Deine Hilfe!!!
Hier der OLT Logtext:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File %SystemRoot%\System32\hidserv.dll not found.
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
Service Changer stopped successfully!
Service Changer deleted successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: false removed from browser.search.update
Prefs.js: "www.google.de" removed from browser.startup.homepage
Prefs.js: moveplayer@movenetworks.com:1.0.0.071303000004 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll not found.
Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully.
C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}\ deleted successfully.
C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DeltTray deleted successfully.
C:\WINDOWS\system32\delttray.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
M:\autoexec.bat moved successfully.
File move failed. X:\autorun.ico scheduled to be moved on reboot.
File move failed. X:\autorun.inf scheduled to be moved on reboot.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\tmp7E.tmp deleted successfully.
C:\WINDOWS\System32\tmp7F.tmp deleted successfully.
C:\WINDOWS\System32\tmpE5.tmp deleted successfully.
C:\WINDOWS\System32\tmpE6.tmp deleted successfully.
C:\WINDOWS\System32\tmpF1.tmp deleted successfully.
C:\WINDOWS\System32\tmpF2.tmp deleted successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Dokumente und Einstellungen\Mickster\Anwendungsdaten\DNA folder moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.
C:\Dokumente und Einstellungen\Mickster\Startmenü\Programme\Autostart\ctfmon.lnk moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Mickster\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Mickster\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Mickster
->Temp folder emptied: 228165270 bytes
->Temporary Internet Files folder emptied: 5825357 bytes
->Java cache emptied: 91087398 bytes
->FireFox cache emptied: 119362293 bytes
->Opera cache emptied: 2413620 bytes
->Flash cache emptied: 47114 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352226 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 92132159 bytes
RecycleBin emptied: 573247 bytes
 
Total Files Cleaned = 517,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: Mickster
->Flash cache emptied: 0 bytes
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.55.0 log created on 08012012_222024

Files\Folders moved on Reboot...
File move failed. X:\autorun.ico scheduled to be moved on reboot.
File move failed. X:\autorun.inf scheduled to be moved on reboot.
File move failed. C:\WINDOWS\S26A5CD95.tmp scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2010.08.30 11:53:32 | 000,377,470 | R--- | M] () X:\autorun.ico : MD5=89EF680461199058AEF4C3600EC61718
[2010.08.18 17:10:14 | 000,000,070 | R--- | M] () X:\autorun.inf : MD5=174F8082A15D00C8F366B7785E79919C
[2009.05.08 20:19:12 | 000,000,024 | -HS- | M] () C:\WINDOWS\S26A5CD95.tmp : Unable to obtain MD5

Registry entries deleted on Reboot...
         

...warte auf weitere Instruktionen!

Cheers,

MiXtA

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hey t'john,

Rechner scheint ganz gut zu laufen...! Thx schoma!

Ich schieb jetzt die beiden Scanner an und poste dann die Logs...

Cheers,

MiXtA

Jo t'john,

hier das erste Malwarebytes Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Mickster :: M [Administrator]

02.08.2012 20:45:33
mbam-log-2012-08-02 (23-07-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|M:\|O:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 633485
Laufzeit: 1 Stunde(n), 46 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Und hier das zweite nach Aktion:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Mickster :: M [Administrator]

02.08.2012 20:45:33
mbam-log-2012-08-02 (20-45-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|M:\|O:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 633485
Laufzeit: 1 Stunde(n), 46 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Jetzt kommt AdwCleaner...

Hier das AdwCleaner Log:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 23:12:45
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Mickster - M
# Running from : C:\Dokumente und Einstellungen\Mickster\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}]

***** [Internet Browsers] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Registry is clean.

-\\ Opera v10.0.1750.0

File : C:\Dokumente und Einstellungen\Mickster\Anwendungsdaten\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [903 octets] - [02/08/2012 23:12:45]

########## EOF - C:\AdwCleaner[R1].txt - [1030 octets] ##########
         

und... was meinst Du?

Ist mein System nun komplett "sauber"?

Wenn ja, wäre das der Hammer, wenn nicht, was könnte ich tun?

Tausend Dank an Dich t'john und an die anderen Forenbetreiber!!!

Cheers,

MiXtA

Sehr gut!

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

moin t'john,

also hier die logdatei von AdwCleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/04/2012 at 11:07:35
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Mickster - M
# Running from : C:\Dokumente und Einstellungen\Mickster\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}]

***** [Internet Browsers] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Registry is clean.

-\\ Opera v10.0.1750.0

File : C:\Dokumente und Einstellungen\Mickster\Anwendungsdaten\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1031 octets] - [02/08/2012 23:12:45]
AdwCleaner[S1].txt - [967 octets] - [04/08/2012 11:07:35]

########## EOF - C:\AdwCleaner[S1].txt - [1094 octets] ##########
         

Emnisoft Scan mach ich jetzt im Anschluss

Cheers,

MiXtA

hey t'john,

also der Emsisoft Scanner läuft noch... dauert wahrscheinlich auch noch ne Weile...

Ich hab aber noch eine kurze Frage. Der AVIRA Scanner findet immer eine Datei in C:\WINDOWS\system32 namens b4fm.dll

Wenn ich die Datei in Quarantäne zu stecken versuchte (vor 5 Tagen und bevor wir zusammen arbeiten! seither nicht mehr!) schmiert Windows ab. Kein anderer Virenscanner bemängelt diese Datei.

Kannst Du dazu etwas sagen?

Thx!

Cheers,

MiXtA

P.S.: Die Datei wird ADSPY/Agent.223744 genannt...

und nun die Ergebnisse von Emisoft:

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 04.08.2012 11:16:16

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\, H:\, I:\, J:\, M:\, O:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	04.08.2012 11:16:49

C:\_OTL\MovedFiles\08012012_222024\C_Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll 	gefunden: Riskware.AdWare.Burnfree!E2
D:\PSP\DOWNGRADE\2.71_TA-082_-_1.50.exe -> PSP\PHOTO\HEND\loadbinary.tif 	gefunden: Exploit.Win32.CVE-2010-0188!E2
D:\PSP\DOWNGRADE\2.71_TA-082_EASY_Downgrader_0.1_by_csfreakno1.zip -> 2.71_TA-082_-_1.50.exe 	gefunden: Exploit.Win32.CVE-2010-0188!E2
D:\PSP\DOWNGRADE\2.71_TA-082_EASY_Downgrader_0.1_by_csfreakno1.zip -> 2.71_TA-082_-_1.50.exe -> PSP\PHOTO\HEND\loadbinary.tif 	gefunden: Exploit.Win32.CVE-2010-0188!E2
E:\System Volume Information\_restore{D50A39CE-B4B7-4407-BC5F-1E5B45E49484}\RP426\A0067247.exe 	gefunden: Riskware.Keygen.Quake!E2
E:\System Volume Information\_restore{D50A39CE-B4B7-4407-BC5F-1E5B45E49484}\RP426\A0067255.exe 	gefunden: Riskware.Keygen.Quake!E2
E:\System Volume Information\_restore{D50A39CE-B4B7-4407-BC5F-1E5B45E49484}\RP426\A0067444.exe 	gefunden: possible-Threat.Keygen.Reloaded!E2
E:\STUFF\2_Winamp 5.01 Pro + Keygen Pro + Record RADIO +  Patch FR Final  + Plugin Ati Telecommande ------------------ @JFS@.zip -> Winamp 5.01 Pro\keygen.exe 	gefunden: not-a-virus.Keygen.WinAmp!E2
E:\STUFF\2_Winamp 5.01 Pro + Keygen Pro + Record RADIO +  Patch FR Final  + Plugin Ati Telecommande ------------------ @JFS@.zip -> Winamp 5.01 Pro\Winamp_5_Patch_FR.exe 	gefunden: not-a-virus:NetTool.Win32.PsKill!E2
E:\STUFF\Winamp.Pro.v5.04.Winall.Incl.Keymaker-CORE.zip -> keygen_winamp.exe 	gefunden: Trojan-Dropper.Win32.Delf!E2
E:\STUFF\Winamp.Pro.v5.05.Final!.Winall.Incl.Keymaker-Core.www!OSIOLEK!com.zip -> keygen_winamp.exe 	gefunden: Trojan-Dropper.Win32.Delf!E2
E:\STUFF\WinZip Pro 11.0\Keygen.exe 	gefunden: Riskware.Keygen.WinZip11!E2
E:\STUFF\AOL40 WIN XP\download alt XP\bs230.exe 	gefunden: Adware.Win32.NewDotNet!E1
E:\STUFF\AOL40 WIN XP\download alt XP\HypnoseL.zip -> Langewei.exe 	gefunden: Joke.Win32.Buttons!E2
E:\IMAGES\daemon4121-lite.exe 	gefunden: Adware.Win32.Shopper.r!E1
F:\Doppelkopf\DOPPELKOPFXXL 3.0\OwnCards.exe 	gefunden: Backdoor.Win32.Prorat!E2
H:\ZOCKS\Risiko\CLASS.EXE 	gefunden: Trojan.MulDrop!E2
I:\STUFF\2_Winamp 5.01 Pro + Keygen Pro + Record RADIO +  Patch FR Final  + Plugin Ati Telecommande ------------------ @JFS@.zip -> Winamp 5.01 Pro\keygen.exe 	gefunden: not-a-virus.Keygen.WinAmp!E2
I:\STUFF\2_Winamp 5.01 Pro + Keygen Pro + Record RADIO +  Patch FR Final  + Plugin Ati Telecommande ------------------ @JFS@.zip -> Winamp 5.01 Pro\Winamp_5_Patch_FR.exe 	gefunden: not-a-virus:NetTool.Win32.PsKill!E2
I:\STUFF\Winamp.Pro.v5.04.Winall.Incl.Keymaker-CORE.zip -> keygen_winamp.exe 	gefunden: Trojan-Dropper.Win32.Delf!E2
I:\STUFF\Winamp.Pro.v5.05.Final!.Winall.Incl.Keymaker-Core.www!OSIOLEK!com.zip -> keygen_winamp.exe 	gefunden: Trojan-Dropper.Win32.Delf!E2
I:\STUFF\EMULE & eDonkey\eMule0.47a\Incoming\Neuer Ordner\ ! Dream Pinball 3D Crack-Serial-Keygen.rar ->  ! Dream Pinball 3D Crack-Serial-Keygen.exe 	gefunden: Trojan-Dropper.Win32.Delf!E2
I:\STUFF\EMULE & eDonkey\eDonkey2000\Eingang\incoming\Quake 4 Crack + Keygen - (nocd(key) [www.themetalmulisha.com]\crack'n'keygen\keygen.exe.exe.exe 	gefunden: Riskware.Keygen.Quake!E2
I:\STUFF\EMULE & eDonkey\eDonkey2000\Eingang\incoming\crack'n'keygen\keygen.exe 	gefunden: Riskware.Keygen.Quake!E2
I:\STUFF\AOL40 WIN XP\download alt XP\bs230.exe 	gefunden: Adware.Win32.NewDotNet!E1
I:\STUFF\AOL40 WIN XP\download alt XP\HypnoseL.zip -> Langewei.exe 	gefunden: Joke.Win32.Buttons!E2
I:\FLUGSIMULATOR FS9\ACTIVE CAMERA\AC2004.exe 	gefunden: Riskware.Monitor.Win32.ChatWatch.252!E1
M:\Users\MiXtA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ME3PYGG8\jquery-1.4.2.min[1].js 	gefunden: Trojan.JS.Blacole!E2

Gescannt	918461
Gefunden	28

Scan Ende:	04.08.2012 15:53:10
Scan Zeit:	4:36:21
         

Freue mich auf eine Antwort!

Thanx und Cheers,

MiXtA

Lade sie bei Virustotal.com hoch und poste den Link zur analyse.

ich weiß leider nicht, was du meinst

gehe zu www.virustotal.com

und dort: choose file

dann: C:\WINDOWS\system32\b4fm.dll

und Scan It

so, hier die Ergebnisse zum b4fm.dll
SHA256: 2069fdcd56c4f7bd13e9364f71170dfbab26d2fa5b92e298cb9d7294ea1cb4e0
SHA1: 5512da452b83e23302c07fa843d288d39c63eb32
MD5: f4beda3a2fdf001c38137f3fa52d4fe8
File size: 218.5 KB ( 223744 bytes )
File name: b4fm.dll
File type: Win32 DLL
Detection ratio: 14 / 41
Analysis date: 2012-08-05 12:04:13 UTC ( 0 Minuten ago )
0
0

More details
Antivirus Result Update
AhnLab-V3 Win-Trojan/Burn4free.223744.B 20120803
AntiVir ADSPY/Agent.223744 20120803
Antiy-AVL - 20120803
Avast - 20120803
AVG Generic4.BWU 20120803
BitDefender - 20120803
ByteHero - 20120723
CAT-QuickHeal - 20120803
ClamAV - 20120803
Commtouch - 20120803
Comodo - 20120803
DrWeb - 20120803
Emsisoft Adware.Win32.Agent!A2 20120803
eSafe Win32.ADSPYAgent 20120802
ESET-NOD32 - 20120803
F-Prot - 20120803
F-Secure Adware:W32/Burn4Free 20120803
Fortinet - 20120803
GData - 20120803
Ikarus - 20120803
Jiangmin - 20120803
K7AntiVirus Trojan 20120803
Kaspersky - 20120803
McAfee Generic.dx!ksm 20120803
McAfee-GW-Edition Generic.dx!ksm 20120803
Microsoft - 20120803
Norman - 20120803
nProtect Trojan/W32.Agent.223744.AW 20120803
Panda Adware/Burn4Free 20120803
Rising - 20120803
Sophos Burn4Free 20120803
SUPERAntiSpyware - 20120803
Symantec - 20120803
TheHacker - 20120801
TotalDefense - 20120802
TrendMicro - 20120803
TrendMicro-HouseCall - 20120803
VBA32 - 20120803
VIPRE Trojan.Win32.Generic!BT 20120803
ViRobot - 20120803
VirusBuster Adware.Burn4Free.A 20120803

Comments
Votes
Additional information

ssdeep
6144:dfdwNxyKCqqi3TmK+b/IC30sUOtlWZropomVjcO:dOPjqTKkACkfOAXmlcO
TrID
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Win16/32 Executable Delphi generic (2.8%)
Generic Win/DOS Executable (2.7%)
F-Prot packer identifier
UPX
ExifTool

MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 1992:06:20 00:22:17+02:00
FileType.................: Win32 DLL
PEType...................: PE32
CodeSize.................: 221184
LinkerVersion............: 2.25
EntryPoint...............: 0x941b0
InitializedDataSize......: 8192
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 385024

Portable Executable structural information

Compilation timedatestamp.....: 1992-06-19 22:22:17
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x000941B0

PE Sections...................:

Name Virtual Address Virtual Size Raw Size Entropy MD5
UPX0 4096 385024 0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 389120 221184 218112 7.92 c9efea36f61cfb029d9289796dbf2eb3
.rsrc 610304 8192 4608 3.66 1daf6cd6d4bf571a7c18194bd510de38

PE Imports....................:

[[version.dll]]
VerQueryValueA

[[winmm.dll]]
PlaySoundA

[[gdi32.dll]]
SaveDC

[[shell32.dll]]
SHGetMalloc

[[KERNEL32.DLL]]
LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree

[[oleaut32.dll]]
VariantCopy

[[advapi32.dll]]
RegOpenKeyA

[[ole32.dll]]
IsEqualGUID

[[user32.dll]]
GetDC

[[comctl32.dll]]
ImageList_Add


PE Exports....................:

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Symantec Reputation
Suspicious.Insight
ClamAV PUA Engine
Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see: hxxp://www.clamav.net/support/faq/pua.
First seen by VirusTotal
2008-03-01 05:23:24 UTC ( 4 Jahre, 5 Monate ago )
Last seen by VirusTotal
2012-08-05 12:04:13 UTC ( 1 Minute ago )
File names (max. 25)

b4fm.dll.vir
b4fm.dll
5512da452b83e23302c07fa843d288d39c63eb32.bin
f4beda3a2fdf001c38137f3fa52d4fe8
b4fm.dl_
file-3270476_dll



Hallo t'john,

was hältst Du denn von den Ergebnissen des Emsisoft Scanner? System soweit ok?

Cheers,

MiXtA

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Moin t'john!

so, hier mal das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-05.02 - Mickster 06.08.2012  18:31:13.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3582.2934 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Mickster\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Emsisoft Anti-Malware *Disabled/Outdated* {0F8591BB-342B-4493-91C3-4E948ED21255}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\skype\skype.exe
c:\windows\iun6002.exe
M:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-06 bis 2012-08-06  ))))))))))))))))))))))))))))))
.
.
2012-08-04 09:13 . 2012-08-05 12:26	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2012-08-02 18:40 . 2012-08-02 18:40	0	--sh--w-	c:\windows\S26A5CD95.tmp
2012-08-01 20:22 . 2012-08-06 16:25	--------	d-----w-	c:\dokumente und einstellungen\Mickster\Anwendungsdaten\DNA
2012-08-01 20:20 . 2012-08-01 20:20	--------	d-----w-	C:\_OTL
2012-07-31 17:02 . 2012-07-31 17:02	--------	d-----w-	c:\dokumente und einstellungen\Mickster\Anwendungsdaten\Malwarebytes
2012-07-31 17:01 . 2012-07-31 17:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-31 17:01 . 2012-07-31 17:01	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-07-31 17:01 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-31 07:14 . 2012-07-31 07:14	--------	d-----w-	c:\dokumente und einstellungen\Mickster\Anwendungsdaten\Avira
2012-07-31 06:59 . 2012-07-18 16:04	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-07-31 06:59 . 2012-07-18 16:04	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-07-31 06:59 . 2012-07-18 16:04	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-07-31 06:59 . 2012-07-31 06:59	--------	d-----w-	c:\programme\Avira
2012-07-31 06:59 . 2012-07-31 06:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-07-31 06:55 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-07-31 06:55 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-13 13:55 . 2008-04-14 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2008-04-14 12:00	1372672	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2008-04-14 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2008-04-14 12:00	152576	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-04-26 20:44	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-04-26 20:44	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-04-26 20:44	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-10-16 12:08	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-10-16 12:07	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-04-26 20:44	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-04-26 20:44	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2008-10-16 12:09	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-10-16 12:08	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-10-16 12:08	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-04-26 20:44	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-04-26 20:44	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-07-14 00:15 . 2012-08-02 21:22	136672	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-10-30 323392]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"nwiz"="nwiz.exe" [2009-03-27 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2009-04-26 435304]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-04-26 61440]
"Diamondback"="c:\programme\Razer\Diamondback\razerhid.exe" [2007-02-14 147456]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2009-01-21 92168]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"CloneCDTray"="c:\programme\CloneCD\CloneCDTray.exe" [2004-10-21 57344]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-07-18 348664]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2010-11-4 813584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"=rddv1029.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BitTorrent_DNA\\dna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"f:\\GRID\\GRID.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"e:\\DreamBox DCC\\DCC_E2.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"f:\\Steam\\steamapps\\common\\dirt 2\\dirt2.exe"=
"f:\\Steam\\steamapps\\common\\defcon\\defcon.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"f:\\Steam\\steamapps\\common\\dirt 2\\dirt2_game.exe"=
"f:\\Steam\\steamapps\\common\\wings of prey\\launcher.exe"=
"f:\\Steam\\steamapps\\common\\greed corp\\Game.exe"=
"f:\\Steam\\steamapps\\common\\multiwinia\\multiwinia.exe"=
.
R1 A2DDA;A2 Direct Disk Access Support Driver;c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [04.08.2012 11:13 17904]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [31.07.2012 08:59 36000]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [04.08.2012 11:13 3075920]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.07.2012 08:59 86224]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [04.11.2010 00:32 10384]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [04.08.2012 11:13 54072]
R3 chdrvr01;CH Control Manager Driver 1;c:\windows\system32\drivers\chdrvr01.sys [18.12.2010 22:52 219072]
R3 chdrvr02;CH Control Manager Driver 2;c:\windows\system32\drivers\chdrvr02.sys [18.12.2010 22:52 5120]
R3 chdrvr03;CH Control Manager Driver 3;c:\windows\system32\drivers\chdrvr03.sys [18.12.2010 22:52 8704]
R3 npusbio;npusbio;c:\windows\system32\drivers\npusbio.sys [27.04.2009 22:42 37408]
R3 STTub203;Thrustmaster HOTAS USB Bulk Out;c:\windows\system32\drivers\STTub203.sys [27.04.2009 00:50 40312]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [01.08.2010 18:19 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [01.08.2010 18:19 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [02.08.2012 23:22 113120]
S3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [27.04.2009 01:09 13225]
S3 RDID1029;Roland Digital Piano;c:\windows\system32\drivers\rdwm1029.sys [03.02.2011 18:12 59553]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [27.05.2010 22:38 174592]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.05.2009 19:04 716272]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-10-16 11:49	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Mickster\Anwendungsdaten\Mozilla\Firefox\Profiles\q9rsj9w1.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{D187A56B-A33F-4CBE-9D77-459FC0BAE012} - c:\programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
AddRemove-Aeroworx Beechcraft Super King Air B200Version 1.00 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-06 18:34
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1454471165-854245398-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:9b,b6,02,f1,8a,39,99,1c,04,dc,c3,fb,92,c6,8d,ad,fc,77,4c,d2,3e,
   97,c8,0c,fb,9b,e5,b0,13,14,bb,f5,ea,b2,59,49,d8,ae,92,1a,15,21,97,e4,df,5a,\
"rkeysecu"=hex:41,77,9e,3e,d1,b2,72,7c,2e,95,17,de,56,7a,94,21
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\rddv1029.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
- - - - - - - > 'lsass.exe'(972)
c:\windows\system32\rddv1029.dll
.
Zeit der Fertigstellung: 2012-08-06  18:35:26
ComboFix-quarantined-files.txt  2012-08-06 16:35
.
Vor Suchlauf: 9.490.935.808 Bytes frei
Nach Suchlauf: 9.724.239.872 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT
.
- - End Of File - - 49EB463FF2863924BE46C8E3F92A33DA
         

Danke Dir schon mal!

Cheers,

MiXtA