Heute musste ich feststellen, dass AVG ein Rootkit entdeckt hat.

flsx.sys in Windows\system32\drivers\

Einziges was auffällt ist dass der PC ein wenig langsamer erscheint, wie gestern.

Procedere?

Vielen Dank

Poste die AVG meldung bitte als klartext.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Habe nun einen Scan gemacht und die entsprechenden Dateien hochgeladen mit der Bitte um Durchsicht.

was ist mit der AVG Medldun, bitte als Klartext posten

Sorry.

"";"C:\WINDOWS\system32\drivers\fslx.sys";"Dienstfunktion NtSetValueKey-Hook -> fslx.sys +0x174EE";"Verstecktes Objekt"
"";"C:\WINDOWS\system32\drivers\fslx.sys";"Dienstfunktion NtUnloadKey-Hook -> fslx.sys +0x17DAA";"Verstecktes Objekt"

Ich danke.
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Danke für die schnelle Antwort.

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-05-30.02 - ralf 30.05.2013  14:04:30.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3567.2361 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ralf\Eigene Dateien\Downloads\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\1A7F06C84D.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgmfapx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgmfarx.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgntdumpx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgrunasx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avi7.avg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\htmlayout.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\incavi.avm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_cz.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_da.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_es.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_fr.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ge.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_hu.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_id.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_in.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_it.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_jp.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ko.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ms.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_nl.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_pb.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_pl.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_pt.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ru.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_sc.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_sk.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_sp.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_tr.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_us.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_zh.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_zt.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaconf.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfacz.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfada.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaes.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfafr.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfage.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfahu.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaid.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfain.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfait.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfajp.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfako.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfams.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfanl.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfapb.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfapl.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfapt.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaru.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfasc.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfask.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfasp.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfatr.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaus.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfavera.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaverx.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfazh.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfazt.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\microavi.avg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\miniavi.avg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\setup.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\setup.ini
c:\windows\IsUn0407.exe
c:\windows\system\W32MKSET.DLL
c:\windows\system\W32MKSET.EXE
c:\windows\system\WDBUUI32.DLL
c:\windows\system32\_000001_.tmp.dll
c:\windows\system32\_000003_.tmp.dll
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\OLD12.tmp
c:\windows\system32\OLD16.tmp
c:\windows\system32\OLD1A.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
D:\Autorun.inf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-28 bis 2013-05-30  ))))))))))))))))))))))))))))))
.
.
2013-05-30 11:20 . 2013-05-30 11:20	--------	d-----w-	c:\windows\LastGood
2013-05-30 11:17 . 2013-05-30 11:17	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2013-05-30 10:55 . 2013-05-30 10:55	--------	d-----w-	c:\programme\CleanUp!
2013-05-15 05:59 . 2013-05-15 05:59	--------	d-----w-	c:\dokumente und einstellungen\ralf\Lokale Einstellungen\Anwendungsdaten\MFAData
2013-05-15 05:59 . 2013-05-15 05:59	--------	d-----w-	c:\dokumente und einstellungen\ralf\Lokale Einstellungen\Anwendungsdaten\Avg2013
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-16 22:16 . 2006-02-28 02:00	920064	----a-w-	c:\windows\system32\wininet.dll
2013-04-16 22:16 . 2006-02-28 02:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-04-16 22:16 . 2006-02-28 02:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-04-12 23:28 . 2006-02-28 02:00	385024	----a-w-	c:\windows\system32\html.iec
2013-04-12 14:00 . 2006-02-28 02:00	1876480	----a-w-	c:\windows\system32\win32k.sys
2013-04-11 01:18 . 2011-07-10 23:14	302368	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2013-03-08 08:36 . 2006-02-28 02:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2006-02-28 02:00	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-07 15:56 . 2006-02-28 02:00	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-05-04 11:31 . 2013-05-04 11:30	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-07 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-07 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-07 137752]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-07-10 1036288]
"WatchDog"="c:\programme\InterVideo\DVD8SESD\DVDCheck.exe" [2009-03-04 200848]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448]
"ApplyEsf-eDocPrintPro"="c:\programme\Gemeinsame Dateien\MAYComputer\eDocPrintPro\\ApplyEsf.exe" [2010-10-18 315392]
"AVG_TRAY"="c:\programme\AVG\AVG2012\avgtray.exe" [2012-11-19 2598520]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"DATEV Update-Monitor"="c:\datev\PROGRAMM\Install\DvInesASDMon.Exe" [2012-08-30 288352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Basisschnittstelle Office Initialisierung.lnk - c:\datev\PROGRAMM\BSoffice\service\OfficeDiag.exe [2012-8-30 42592]
CleanupPrintJobs.lnk - c:\datev\PROGRAMM\B0001401\CleanupPrintJobs.exe [2012-6-13 22624]
SkyUserDevmode-Update.lnk - c:\datev\PROGRAMM\B0001401\UpdateDevmode.exe [2012-6-13 22624]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe
"c:\\DATEV\\PROGRAMM\\R0000135\\EOR.EXE"= c:\\DATEV\\PROGRAMM\\R0000135\\EOR
"c:\\DATEV\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"=
"c:\\DATEV\\PROGRAMM\\Install\\Uninstal.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"=
"c:\\DATEV\\PROGRAMM\\Numzus\\NumZus.exe"= c:\\DATEV\\PROGRAMM\\NUMZUS\\NumZus.exe
"c:\\DATEV\\PROGRAMM\\Mandant\\Mandant.exe"= c:\\DATEV\\PROGRAMM\\MANDANT\\Mandant.exe
"c:\\DATEV\\PROGRAMM\\K0005000\\Arbeitsplatz.exe"=
"c:\\DATEV\\SYSTEM\\DvpExe.exe"=
"c:\\DATEV\\SYSTEM\\DcomSrv.exe"=
"c:\\DATEV\\PROGRAMM\\RWApplic\\Datev.Irw.Managed.ServiceProvider.exe"= c:\\DATEV\\PROGRAMM\\RWAPPLIC\\Datev.Irw.Managed.ServiceProvider.exe
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\AVG\\AVG2012\\avgnsx.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgemcx.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58451:TCP"= 58451:TCP:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:datev.framework.hosting.http
"58452:TCP"= 58452:TCP:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:datev.framework.hosting.https
.
R0 AVGIDSHX;AVGIDSHX;c:\windows\system32\drivers\avgidshx.sys [19.04.2012 04:50 24896]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [11.07.2011 01:13 31952]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [11.07.2011 01:13 250080]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11.07.2011 01:14 302368]
R1 FSLX;FSLX;c:\windows\system32\drivers\fslx.sys [20.02.2009 16:04 195456]
R2 avgwd;AVG WatchDog;c:\programme\AVG\AVG2012\avgwdsvc.exe [14.02.2012 04:53 193288]
R2 Datev.Framework.RemoteServiceModel.EnablerService;DATEV DFL-Service-Manager;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 -Single --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 -Single [?]
R2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTServ.exe [14.06.2012 03:20 87040]
R2 MSSQL$DATEV_DBENGINE;SQL Server (DATEV_DBENGINE);c:\programme\Microsoft SQL Server\MSSQL10_50.DATEV_DBENGINE\MSSQL\Binn\sqlservr.exe [17.06.2011 23:19 43040096]
R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [26.06.2009 17:41 576024]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\avgidsdriverx.sys [23.12.2011 13:32 142176]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\avgidsfilterx.sys [23.12.2011 13:32 24144]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\avgidsshimx.sys [23.12.2011 13:32 17232]
R3 Datev.Framework.RemoteServices;DATEV DFL Infrastruktur-Dienst;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 -Single --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 -Single [?]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [27.06.2009 02:20 36608]
R3 MSSQLFDLauncher$DATEV_DBENGINE;SQL Full-text Filter Daemon Launcher (DATEV_DBENGINE);c:\programme\Microsoft SQL Server\MSSQL10_50.DATEV_DBENGINE\MSSQL\Binn\fdlauncher.exe [03.04.2010 12:56 28512]
S2 AVGIDSAgent;AVGIDSAgent;c:\programme\AVG\AVG2012\avgidsagent.exe [02.11.2012 04:51 5174392]
S3 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\Install\DvInesASDSvc.Exe [03.07.2012 04:00 157792]
S3 Datev.Database.Conserve;DATEV Connection Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 [?]
S3 Datev.Unternehmen.SystemComponents.ServiceBus.V0200.PlugIn;DATEV Schnittstellensystem pro;Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Unternehmen.SystemComponents.ServiceBus.V0200.PlugIn --> Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Unternehmen.SystemComponents.ServiceBus.V0200.PlugIn [?]
S3 Datev.Unternehmen.SystemComponents.ServiceBus.V0300.PlugIn;DATEV Schnittstellensystem pro V0300;Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Unternehmen.SystemComponents.ServiceBus.V0300.PlugIn --> Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Unternehmen.SystemComponents.ServiceBus.V0300.PlugIn [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [16.07.2010 18:19 114432]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [16.07.2010 18:19 100736]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [03.04.2010 21:56 44896]
S4 RsFx0151;RsFx0151 Driver;c:\windows\system32\drivers\RsFx0151.sys [17.06.2011 22:28 240736]
S4 SQLAgent$DATEV_DBENGINE;SQL Server Agent (DATEV_DBENGINE);c:\programme\Microsoft SQL Server\MSSQL10_50.DATEV_DBENGINE\MSSQL\Binn\SQLAGENT.EXE [17.06.2011 23:19 370016]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 49044457
*Deregistered* - 49044457
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-05-26 09:09	1165776	----a-w-	c:\programme\Google\Chrome\Application\27.0.1453.94\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-11-19 09:34]
.
2013-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-19 16:04]
.
2013-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-19 16:04]
.
2013-01-21 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG January 2013 Campaign\ROC.exe [2013-01-21 21:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=93&bd=all&pf=cmdt
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: Interfaces\{7C6F08FD-4A87-44A1-8AAD-5C29BEBA17F5}: NameServer = 192.168.1.1
DPF: {54CFC975-F9FB-45EB-8D18-D2D04FBC4299} - hxxp://www.eytronserver.com/CAB/RemoteWeb2.cab
DPF: {CF1572D7-C2DB-456A-8F56-CFAAA4C79251} - hxxp://www.eytronserver.com/CAB/WEB_BACKUP2.cab
FF - ProfilePath - c:\dokumente und einstellungen\ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\wijmoh1c.default\
FF - ExtSQL: !HIDDEN! 2010-01-05 10:54; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Vermieter-Lexikon - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2013-05-30 14:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-05-30  14:16:28
ComboFix-quarantined-files.txt  2013-05-30 12:16
.
Vor Suchlauf: 17 Verzeichnis(se), 50.608.898.048 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 52.062.863.360 Bytes frei
.
- - End Of File - - F3975F9F7AB663626FC8DF6B8405EA68
         

--- --- ---

sieht bisher unauffällig aus.
gmer log bitte:
http://www.trojaner-board.de/74908-a...t-scanner.html

OK. Danke bisher. Muss das ggf. später oder morgen weitermachen. Melde mich Dann.

Danke für die schnellen Antworten.

Hi, musst dich nich abmelden, einfach loslegen wenn luft ist