Hallo Trojaner-Board,

bei einer Aufräumaktion auf dem Nachbarrechner habe ich einen ganzen Wurf an Malware gefunden, vor allem Trojaner. Hier der Scanbericht von Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ronny :: RONALD-69010F76 [Administrator]

Schutz: Aktiviert

27.09.2012 12:34:59
mbam-log-2012-09-27 (12-34-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 298435
Laufzeit: 11 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 37
C:\WINDOWS\Temp\QUNloYd.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\R6BEuZM.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\rgnygtgcuex.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\rultihehenqkvfejgpzm.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\IMO7wRr.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\dT9cZ93.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ezeyekhbko.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\feettox23.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\fvJcrgR.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\147gge.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\adfm32.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\alteki.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\anajbio.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\vDgj5og.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\vetua.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\goempthnhvhggp.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\guy12.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\gxzcnownvrku.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\pkvdnoljqd.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\kpC99IR.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\KPlKtGB.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\kptufvtqtdyevqli.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\la12.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\mmyiqrdyjnnxdgqv.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\npkglqqllbg.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\nSOKlq8.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\oimwxnglin.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\otgKDMC.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ouivgbv.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\bUn6qxH.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ncjoqzeradxeufaimuvloshd.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\aumoulkdpjyk.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\mvziazuqyjuxvkb.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\riqiiqirqntliuwdqfa.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Wie bekomme ich ohne Format c: den Rechner wieder sauber?

Danke und Gruß

Chrom

hi
ob das ohne format geht, sehen wir erst nach analyse des pcs



combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.




malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hier der Combofix-Bericht, danach der Bericht von Malwarebyte nach dem Combofix:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-09-26.06 - Ronny 27.09.2012  13:29:49.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.968 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Eigene Dateien\Downloads\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ela\1234.doc
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\WINDOWS
c:\dokumente und einstellungen\Ronny\pdf
c:\dokumente und einstellungen\Ronny\pdf\AnmeldeunterlagenBedenkirchen.pdf
c:\dokumente und einstellungen\Ronny\pdf\CantemusTelefonliste.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Einladung-Singwoche-Herbst09.pdf
c:\dokumente und einstellungen\Ronny\pdf\Flyer Singwochenende 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\flyer_beedenkirchen_2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Flyer_Singwochenende_2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorar-Beleg Herbst 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorar.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorarformular_CV.pdf
c:\dokumente und einstellungen\Ronny\pdf\Konradhütte.pdf
c:\dokumente und einstellungen\Ronny\pdf\Medinatura.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief April 2010 JC.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009 (Termine 2009-2010).pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief_März_2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\MorgenandachtOstern10.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\ÜbersGebirg.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\caresse_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin8.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\DaDieZeitVergangenWar.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das Leben ist Sieger.jpg
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das schenkt uns Gott.jpg
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Daydream Lullaby.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Dreaming.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\In Memoriam.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\InDiesenDunklenTagen.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\JauchzetGottAlleLande.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Kyrie, Rheinberger.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\lean_on_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\LocusIste.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Money money money KLAV.PDF
c:\dokumente und einstellungen\Ronny\pdf\Partituren\one_of_y.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\The moon SS.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Vertrau_o_Samson_PART_A.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\wade_in_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Rerservierung.pdf
c:\dokumente und einstellungen\Ronny\pdf\SGH_Fanschal.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen_50.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_40.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_55.pdf
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-27 bis 2012-09-27  ))))))))))))))))))))))))))))))
.
.
2012-09-27 10:21 . 2012-09-27 10:21	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Malwarebytes
2012-09-27 10:21 . 2012-09-27 10:21	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2012-09-27 10:21 . 2012-09-27 10:21	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-09-27 10:21 . 2012-09-07 15:04	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-27 09:29 . 2012-09-19 09:29	31584	----a-w-	c:\windows\system32\TURegOpt.exe
2012-09-27 09:29 . 2012-09-27 09:29	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\TuneUp Software
2012-09-27 09:29 . 2012-09-27 09:30	--------	d-----w-	c:\programme\TuneUp Utilities 2013
2012-09-27 09:28 . 2012-09-27 09:29	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2012-09-27 09:28 . 2012-09-27 09:28	--------	d-sh--w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2012-09-27 09:28 . 2012-09-27 09:28	--------	d--h--w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Common Files
2012-09-27 09:27 . 2012-09-27 09:27	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Avira
2012-09-27 09:22 . 2012-09-24 07:58	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-09-27 09:22 . 2012-09-13 08:58	134184	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-09-27 09:22 . 2012-09-13 08:58	83792	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-09-27 09:22 . 2012-09-27 09:22	--------	d-----w-	c:\programme\Avira
2012-09-27 09:22 . 2012-09-27 09:22	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2012-09-27 08:38 . 2008-02-15 11:21	147456	----a-w-	c:\windows\system32\igfxCoIn_v4926.dll
2012-09-27 08:37 . 2012-09-27 08:37	--------	d-----w-	c:\dokumente und einstellungen\RONNY~1~RON
2012-09-27 08:13 . 2012-09-27 08:13	696240	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-09-27 08:10 . 2012-09-27 08:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-09-27 08:09 . 2012-09-27 08:09	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-09-27 08:09 . 2012-09-27 08:09	477168	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-09-27 08:09 . 2012-09-27 08:09	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-09-26 15:24 . 2012-09-26 15:24	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Thunderbird
2012-09-26 15:24 . 2012-09-26 15:24	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2012-09-26 15:22 . 2012-09-26 15:23	--------	d-----w-	c:\programme\Mozilla Thunderbird
2012-09-26 14:59 . 2012-09-26 14:59	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-09-26 14:58 . 2012-09-26 14:58	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2012-09-23 10:18 . 2012-09-23 10:18	--------	d-sh--w-	c:\windows\system32\config\systemprofile\PrivacIE
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-27 08:13 . 2011-08-13 21:16	73136	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-06 01:26 . 2012-09-26 14:58	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"FLMOFFICE4DMOUSE"="c:\programme\Browser Mouse\moffice.exe" [2011-08-02 806912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-09-21 386336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^PHOTOfunSTUDIO HD Edition.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\PHOTOfunSTUDIO HD Edition.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO HD Edition.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Scanner Finder.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Scanner Finder.lnk
backup=c:\windows\pss\Scanner Finder.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-11 19:00	919008	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-07-31 11:20	38872	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-10-27 17:17	207424	----a-w-	c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-10-09 10:28	139264	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 20:17	49152	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 21:17	52256	----a-w-	c:\programme\CyberLink\PowerDVD\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
2004-08-29 11:52	53248	----a-w-	c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
2004-08-29 11:52	131072	----a-w-	c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40	155648	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nikon Message Center 2]
2010-05-25 17:16	619008	----a-w-	c:\programme\Nikon\Nikon Message Center 2\NkMC2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 20:01	71216	----a-w-	c:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ServiceLayer"=3 (0x3)
"RichVideo"=2 (0x2)
"NBService"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"gupdatem"=3 (0x3)
"gupdate"=2 (0x2)
"AdobeFlashPlayerUpdateSvc"=3 (0x3)
"ACDaemon"=2 (0x2)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [27.09.2012 11:22 36552]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.09.2012 11:22 84256]
R2 avmidentd;AVM FRITZ!Box-Kindersicherung;c:\programme\FRITZ!Box-Kindersicherung\avmident.exe [21.08.2006 18:57 49152]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [27.09.2012 12:21 399432]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [27.09.2012 12:21 676936]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [04.05.2009 13:16 9728]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe [19.09.2012 11:29 1699168]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27.09.2012 12:21 22856]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys [19.09.2012 10:50 10088]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.09.2012 16:58 114144]
S4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [27.09.2012 10:13 250288]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - SSMDRV
*Deregistered* - MBAMSwissArmy
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-27 08:13]
.
2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03]
.
2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=d4ee52700000000000000019668191a1
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Mozilla\Firefox\Profiles\llwbx5mv.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
MSConfigStartUp-AVP - c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
AddRemove-FoxTab Music Converter - c:\programme\FoxTabMusicConverter\Uninstall\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-27 13:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:21,92,33,21,b4,5c,cb,c9,b2,84,be,78,ae,0d,b1,79,8e,6e,23,e4,c0,ab,cb,
   04,4f,d1,bd,99,f1,f5,f9,c0,2a,15,ad,40,98,cd,51,05,81,b5,bf,c7,05,82,37,bb,\
"??"=hex:d4,ae,dd,c8,91,ca,d0,5f,bc,bb,ec,82,33,f4,a6,5c
.
[HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:dc,0b,c8,71,7b,47,93,6b,37,4f,d1,cf,19,9c,d8,30,fe,27,06,71,45,
   cc,96,09,d9,5a,b6,9d,b0,78,d2,05,86,a8,25,dc,c7,a3,3f,d3,aa,f9,86,61,ad,47,\
"rkeysecu"=hex:26,57,9c,b5,5f,6e,4e,f9,c8,d6,6a,e7,77,9f,d0,b0
.
Zeit der Fertigstellung: 2012-09-27  13:43:21
ComboFix-quarantined-files.txt  2012-09-27 11:43
.
Vor Suchlauf: 13 Verzeichnis(se), 208.172.834.816 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 212.175.220.736 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 189034A3744D699B6E1C27DE617AAD65
         

--- --- ---




Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ronny :: RONALD-69010F76 [Administrator]

Schutz: Aktiviert

27.09.2012 13:49:07
mbam-log-2012-09-27 (13-49-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 282534
Laufzeit: 2 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Scheint alles sauber zu sein....

hi
wenn du onlinebanking machst, rufe die bank an, notfall nummer falls sie zu hatt:
116 116
lasse das onlinebanking wegen zero access rootkit sperren.
da man dies nicht 100 %ig sicher los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

O.K., danke.

Ich werde mich da mit meinem Nachbar durcharbeiten - insbesondere, dass er sein Onlinebanking umstellt. Ich habs ihm gerade gesagt...
Aber verrmutlich werde ich den Rechner platt machen und ihn für Ubuntu begeistern. Und dazu eine Kurzunterweisung in Internetverhalten.

Direkt noch ein paar Tipps für diesen Weg?

hi
meinst du nen komplett umstieg auf ubuntu? das geht natürlich auch nur, wenn er keine games etc hatt, man kann aber prinzipiell auch unter windows sehr sicher arbeiten.