TR/Crypt.ZPACK.Gen von Antivir entdeckt. Lässt sich nicht löschen.

Trikinin · 05.11.2009, 14:39

Hallo ihr lieben Helfer.
Bin neu hier und auch ein ziemlicher Noob, was Sicherheitssoftware und Viren etc. betrifft. Ich habe seit ein paar Tagen den Trojaner TR/Crypt.ZPACK.Gen auf dem Rechner. Antivir zeigt ihn immer wieder an, auf all meinen (6) Partitionen. Egal wie oft ich ihn lösche oder in Quarantäne schicke, tritt er immer wieder auf.
Mein Antivir lässt sich auch nicht mehr updaten und einige Anwendugen funktionieren nicht mehr richtig. Ausserdem kann ich meine Partitionen nur noch über den Explorer öffnen, über Arbeitsplatz werde ich gefragt, mit welchem Program ich die Festplatten partition öffnen soll, wie bei Film- oder Musik dateien???? Bin völlig hilflos!
Ich hab mir auch noch einige andere Antivirensoftware runtergeladen, aber nichts hilft. Naja hab ja auch kein Plan

Ich hoffe nun auf eure Hilfe.
Hab mir schon einige Beiträge im Forum durchgelesen, wurde daraus aber nicht schlau und denke, dass die Lösung des Problems ja auch individuel anders ist, oder?
Naja ich danke euch schon mal im Voraus für eine Antwort.
Bitte sagt mir was ich machen soll, um dieses Teil los zu werden.
(Übrigens habe ich windows Xp professional Sercice Pack 2)

Danke.
Lg Trikinin

cosinus · 06.11.2009, 19:54

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Trikinin · 07.11.2009, 16:05

Hi, erstmal danke das ihr euch meinem Problem annehmt!
Hier ist die Malwarebyteslog und der rsit\info.txt

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3115
Windows 5.1.2600 Service Pack 2

07.11.2009 15:44:25
mbam-log-2009-11-07 (15-44-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|I:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 261894
Laufzeit: 1 hour(s), 11 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

info.txt logfile of random's system information tool 1.06 2009-11-07 15:48:15

======Uninstall list======

-->F:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->MsiExec /X{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{87499F38-FD69-4A2B-B41A-BAB8DE9B94FE}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis*True*Image-->F:\Programme\Acronis\TrueImage\MediaBuilder.exe -uninstall
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7646-A00000000001}
AGEIA PhysX v7.11.13-->MsiExec.exe /X{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}
Air USB Utility-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{2CA94ED4-F38D-44B4-A79D-E5835E276EFC}
ANIO Service-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}\Setup.exe"
ANIWZCS2 Service-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4C590030-7469-453E-8589-D15DA9D03F52}\Setup.exe"
Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
AsusUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\Setup.exe" -l0x7
Avira AntiVir Personal - Free Antivirus-->F:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Battlefield 1942-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\Setup.exe" -l0x7
Best of Amiga Classix 1.0-->G:\Best of Amiga Classix\uninst.exe
CCleaner-->"F:\Programme\CCleaner\uninst.exe"
CloneCD-->"F:\Programme\Elaborate Bytes\CloneCD\ccd-uninst.exe" /D="F:\Programme\Elaborate Bytes\CloneCD"
COMODO Internet Security-->F:\Programme\Comodo\COMODO Internet Security\cfpconfg.exe -u
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Creative-Audiokonsole-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7 /remove
Creative-Systeminformationen-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{87499F38-FD69-4A2B-B41A-BAB8DE9B94FE}\setup.exe" -l0x7 /remove
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
DivX Codec-->F:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->F:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->F:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->F:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->F:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
foobar2000 v0.9-->"F:\Programme\foobar2000\uninstall.exe"
Fraps-->"F:\Programme\Fraps\uninstall.exe"
GeoGebra-->"F:\Programme\GeoGebra\UninstallerData\Uninstaller.exe"
Ghost Recon Advanced Warfighter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFC97089-04D6-42CE-A707-A343B4A7D2CD}\setup.exe" -l0x7
Heroes II - The Price of Loyalty-->C:\WINDOWS\h2remove.exe
Heroes of Might and Magic II-->C:\WINDOWS\h2remove.exe
Heroes of Might and Magic V Collector Edition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DDB68A90-340C-42B9-B42B-D2CBED1B91DC}\Setup.exe" -l0x7
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Bogeyman\Desktop\HijackThis.exe" /uninstall
Hitman Pro 3.5-->"C:\Programme\Hitman Pro 3.5\HitmanPro35.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
ICQ Toolbar-->regsvr32 /u /s "F:\Programme\ICQToolbar\toolbaru.dll"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
IrfanView (remove only)-->F:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150030}
KaM - The Peasants Rebellion-->G:\KAM-TH~1\UNWISE.EXE /U G:\KAM-TH~1\INSTALL.LOG
KnightsAndMerchants-->C:\WINDOWS\uninst.exe -fg:\KnightsAndMerchants\DeIsL1.isu -cg:\KnightsAndMerchants\_ISREG32.DLL
Lost Via Domus-->"C:\Programme\InstallShield Installation Information\{2702B8FC-6003-4AC6-ADBC-EC65746D800A}\setup.exe" -runfromtemp -l0x0007 -removeonly
Malwarebytes' Anti-Malware-->"F:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.15)-->F:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
O&O Defrag Professional Edition-->MsiExec.exe /I{53480370-6CA2-47EC-BC05-02B4B9271C31}
PowerPlayer II-->"F:\Programme\Winamp\uninst_pwrplay.exe"
Sony Ericsson PC Suite-->MsiExec.exe /I{FE6397C1-CECA-4EC3-B064-42AED7676898}
Spybot - Search & Destroy-->"F:\Programme\Spybot - Search & Destroy\unins000.exe"
TeamSpeak 2 RC2-->F:\Programme\Teamspeak2_RC2\unins000.exe
Tiff Viewer-->MsiExec.exe /I{1632F7CB-FB7D-402E-BC20-CAA1CC01EEDA}
Titan Quest-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{412B69AF-C352-4F6F-A318-B92B3CB9ACC6}\setup.exe" -l0x7 -removeonly
TMNT-->C:\Programme\InstallShield Installation Information\{B3583D27-C12A-483E-98B8-235506F71502}\setup.exe -runfromtemp -l0x0009 -removeonly
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.2-->F:\Programme\VideoLAN\VLC\uninstall.exe
WC3Banlist-->"F:\Programme\WC3Banlist\unins000.exe"
Winamp (remove only)-->"F:\Programme\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
WinPcap 3.1-->C:\Programme\WinPcap\uninstall.exe
WinRAR Archivierer-->F:\Programme\WinRAR\uninstall.exe
XMPEG 5.0-->F:\Programme\XMPEG\uninst.exe
XnView 1.95.4-->"F:\Programme\XnView\unins000.exe"
xp-AntiSpy 3.96-8-->F:\Programme\xp-AntiSpy\Uninstall.exe

======Security center information======

AV: COMODO Antivirus
AV: AntiVir Desktop (disabled) (outdated)
FW: COMODO Firewall

======System event log======

Computer Name: PENNER
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Record Number: 241385
Source Name: Service Control Manager
Time Written: 20091026223600.000000+060
Event Type: Fehler
User:

Computer Name: PENNER
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Record Number: 241384
Source Name: Service Control Manager
Time Written: 20091026223557.000000+060
Event Type: Fehler
User:

Computer Name: PENNER
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Record Number: 241383
Source Name: Service Control Manager
Time Written: 20091026223554.000000+060
Event Type: Fehler
User:

Computer Name: PENNER
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Record Number: 241382
Source Name: Service Control Manager
Time Written: 20091026223551.000000+060
Event Type: Fehler
User:

Computer Name: PENNER
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Record Number: 241381
Source Name: Service Control Manager
Time Written: 20091026223548.000000+060
Event Type: Fehler
User:

=====Application event log=====

Computer Name: PENNER
Event Code: 1001
Message: Dateisystem auf D: wird überprüft.
Der Typ des Dateisystems ist NTFS.
Die Volumebezeichnung lautet Stuff.

Einer der Datenträger muss auf Konsistenz überprüft werden.
Sie können die Datenträgerüberprüfung abbrechen, aber es
wird ausdrücklich empfohlen, den Vorgang fortzusetzen.
Die Datenträgerüberprüfung wird jetzt ausgeführt.
Das Dateisystem wurde überprüft. Es wurden keine Probleme festgestellt.

10241405 KB Speicherplatz auf dem Datenträger insgesamt
9540160 KB in 9620 Dateien
2720 KB in 548 Indizes
4 KB in fehlerhaften Sektoren
64229 KB vom System benutzt
53264 KB von der Protokolldatei belegt
634292 KB auf dem Datenträger verfügbar

4096 Bytes in jeder Zuordnungseinheit
2560351 Zuordnungseinheiten auf dem Datenträger insgesamt
158573 Zuordnungseinheiten auf dem Datenträger verfügbar

Interne Informationen:
f0 27 00 00 c3 27 00 00 33 2f 00 00 00 00 00 00 .'...'..3/......
cb 00 00 00 00 00 00 00 15 00 00 00 00 00 00 00 ................
4e 72 53 00 00 00 00 00 84 04 49 01 00 00 00 00 NrS.......I.....
9a ad 4e 00 00 00 00 00 00 00 00 00 00 00 00 00 ..N.............
00 00 00 00 00 00 00 00 d8 fc 9a 08 00 00 00 00 ................
99 9e 36 00 00 00 00 00 68 3e 07 00 94 25 00 00 ..6.....h>...%..
00 00 00 00 00 00 49 46 02 00 00 00 24 02 00 00 ......IF....$...

Record Number: 1811
Source Name: Winlogon
Time Written: 20081026230811.000000+060
Event Type: Informationen
User:

Computer Name: PENNER
Event Code: 1517
Message: Die Registrierung des Benutzers "PENNER\Bogeyman" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 1810
Source Name: Userenv
Time Written: 20081025160240.000000+120
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: PENNER
Event Code: 105
Message: The service was started.

Record Number: 1809
Source Name: WMDM PMSP Service
Time Written: 20081025104902.000000+120
Event Type: Informationen
User:

Computer Name: PENNER
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 1808
Source Name: Avira AntiVir
Time Written: 20081025104857.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: PENNER
Event Code: 1001
Message: Dateisystem auf D: wird überprüft.
Der Typ des Dateisystems ist NTFS.
Die Volumebezeichnung lautet Stuff.

Einer der Datenträger muss auf Konsistenz überprüft werden.
Sie können die Datenträgerüberprüfung abbrechen, aber es
wird ausdrücklich empfohlen, den Vorgang fortzusetzen.
Die Datenträgerüberprüfung wird jetzt ausgeführt.
Das Dateisystem wurde überprüft. Es wurden keine Probleme festgestellt.

10241405 KB Speicherplatz auf dem Datenträger insgesamt
9540156 KB in 9618 Dateien
2720 KB in 548 Indizes
4 KB in fehlerhaften Sektoren
64229 KB vom System benutzt
53264 KB von der Protokolldatei belegt
634296 KB auf dem Datenträger verfügbar

4096 Bytes in jeder Zuordnungseinheit
2560351 Zuordnungseinheiten auf dem Datenträger insgesamt
158574 Zuordnungseinheiten auf dem Datenträger verfügbar

Interne Informationen:
f0 27 00 00 c1 27 00 00 30 2f 00 00 00 00 00 00 .'...'..0/......
cb 00 00 00 00 00 00 00 15 00 00 00 00 00 00 00 ................
9a ad 4e 00 00 00 00 00 d0 3f 44 01 00 00 00 00 ..N......?D.....
9a ad 4e 00 00 00 00 00 00 00 00 00 00 00 00 00 ..N.............
00 00 00 00 00 00 00 00 70 73 91 08 00 00 00 00 ........ps......
99 9e 36 00 00 00 00 00 68 3e 07 00 92 25 00 00 ..6.....h>...%..
00 00 00 00 00 f0 48 46 02 00 00 00 24 02 00 00 ......HF....$...

Record Number: 1807
Source Name: Winlogon
Time Written: 20081025104834.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\Gemeinsame Dateien\DivX Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 31 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=1f00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Trikinin · 07.11.2009, 16:08

Und hier noch der rsit\log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Bogeyman at 2009-11-07 15:47:59
Microsoft Windows XP Professional Service Pack 2
System drive C: has 5 GB (47%) free of 10 GB
Total RAM: 1023 MB (26% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:13, on 07.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\CTHELPER.EXE
F:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
F:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
F:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
F:\Programme\Avira\AntiVir Desktop\avguard.exe
F:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
F:\Programme\Comodo\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Bogeyman\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\Bogeyman\Desktop\Bogeyman.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "F:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HitmanPro35] "C:\Programme\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot
O4 - HKLM\..\Run: [COMODO Internet Security] "F:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [D-Link Air USB Utility] F:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOKUME~1\Bogeyman\LOKALE~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - F:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 6883 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 54248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - F:\Programme\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - F:\Programme\ICQToolbar\toolbaru.dll [2005-01-19 446464]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-06-01 7618560]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"ANIWZCS2Service"=C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe [2004-04-14 45056]
"CTHelper"=C:\WINDOWS\CTHELPER.EXE [2005-12-08 16384]
"DAEMON Tools"=F:\Programme\DAEMON Tools\daemon.exe [2007-04-03 165784]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_03\bin\jusched.exe [2005-04-13 36975]
"Acronis*True*Image Monitor"=F:\Programme\Acronis\TrueImage\TrueImageMonitor.exe [2009-11-03 417431]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2006-09-14 61440]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2007-03-28 593920]
"CloneCDElbyCDFL"=F:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [2002-11-02 45056]
"CloneCDTray"=F:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe [2002-11-04 73728]
"avgnt"=F:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"HitmanPro35"=C:\Programme\Hitman Pro 3.5\HitmanPro35.exe [2009-11-05 4877048]
"COMODO Internet Security"=F:\Programme\Comodo\COMODO Internet Security\cfp.exe [2009-11-05 1799952]
"SBDrvDet"=C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r []
"D-Link Air USB Utility"=F:\Programme\D-Link\Air USB Utility\AirCFG.exe []
" Malwarebytes Anti-Malware (reboot)"=F:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"=F:\Programme\DAEMON Tools\daemon.exe [2007-04-03 165784]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]
"SpybotSD TeaTimer"=F:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]
"cdoosoft"=C:\DOKUME~1\Bogeyman\LOKALE~1\Temp\herss.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=3
"TapiSrv"=3
"Creative Service for CDROM Access"=2

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - F:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=" C:\WINDOWS\system32\guard32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-03 240128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\hitmanpro35]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\hitmanpro35.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01e90aae-266f-11de-871f-0011d8516ba9}]
shell\AutoRun\command - L:\qbr2q.exe
shell\open\command - L:\qbr2q.exe

======List of files/folders created in the last 1 months======

2009-11-07 15:47:59 ----D---- C:\rsit
2009-11-07 13:02:32 ----D---- C:\Dokumente und Einstellungen\Bogeyman\Anwendungsdaten\Malwarebytes
2009-11-07 13:02:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-05 12:52:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2009-11-05 12:52:19 ----A---- C:\WINDOWS\system32\guard32.dll
2009-11-05 12:08:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-05 12:04:49 ----D---- C:\WINDOWS\Internet Logs
2009-11-05 12:03:58 ----D---- C:\Programme\Hitman Pro 3.5
2009-11-05 12:03:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hitman Pro
2009-11-04 18:05:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-11-03 19:20:38 ----D---- C:\WINDOWS\system32\LogFiles
2009-10-23 15:26:05 ----HD---- C:\Programme\Zero G Registry

======List of files/folders modified in the last 1 months======

2009-11-07 14:29:01 ----D---- C:\WINDOWS\Temp
2009-11-07 14:28:07 ----D---- C:\WINDOWS
2009-11-07 14:27:43 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-07 13:02:29 ----D---- C:\WINDOWS\system32\drivers
2009-11-07 12:59:36 ----D---- C:\WINDOWS\Debug
2009-11-07 12:59:35 ----D---- C:\WINDOWS\Minidump
2009-11-06 16:27:46 ----A---- C:\WINDOWS\NeroDigital.ini
2009-11-05 12:52:19 ----D---- C:\WINDOWS\system32
2009-11-05 12:13:00 ----HD---- C:\Programme\InstallShield Installation Information
2009-11-05 12:03:58 ----RD---- C:\Programme
2009-11-04 19:30:33 ----SHD---- C:\WINDOWS\Installer
2009-11-04 18:05:23 ----HD---- C:\WINDOWS\inf
2009-11-04 18:04:24 ----D---- C:\WINDOWS\WinSxS
2009-11-03 16:09:25 ----A---- C:\WINDOWS\system32\setupnt.dll
2009-10-25 12:17:38 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-10-14 14:57:42 ----A---- C:\WINDOWS\PWRPLAY.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\F:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2009-11-05 132296]
R1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2009-11-05 25160]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS []
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2002-11-02 13896]
R2 tifsfilter;Acronis TrueImage FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-11-03 28096]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2005-12-08 501760]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2005-12-08 439296]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2005-12-08 7168]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2005-12-08 142336]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2002-09-25 4608]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2005-12-08 77824]
R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2005-12-08 754176]
R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2005-12-08 154112]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-18 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-06-01 3925920]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-04-14 34176]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-04-14 13056]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2005-12-08 114688]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 ajmyva7j;ajmyva7j; C:\WINDOWS\system32\drivers\ajmyva7j.sys []
S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704]
S3 dtscsi;dtscsi; C:\WINDOWS\System32\Drivers\dtscsi.sys []
S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2005-12-08 179712]
S3 hitmanpro35;Hitman Pro 3.5 Support Driver; \??\C:\WINDOWS\system32\drivers\hitmanpro35.sys []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2004-08-03 40320]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 32512]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver; C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys [2003-10-02 666624]
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 se58bus;Sony Ericsson Device 088 driver (WDM); C:\WINDOWS\system32\DRIVERS\se58bus.sys [2006-09-05 61536]
S3 se58mdfl;Sony Ericsson Device 088 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se58mdfl.sys [2006-09-05 9360]
S3 se58mdm;Sony Ericsson Device 088 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se58mdm.sys [2006-09-05 97088]
S3 se58mgmt;Sony Ericsson Device 088 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se58mgmt.sys [2006-09-05 88624]
S3 se58nd5;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (NDIS); C:\WINDOWS\system32\DRIVERS\se58nd5.sys [2006-09-05 18704]
S3 se58obex;Sony Ericsson Device 088 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se58obex.sys [2006-09-05 86432]
S3 se58unic;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (WDM); C:\WINDOWS\system32\DRIVERS\se58unic.sys [2006-09-05 90800]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2006-09-14 122880]
R2 AntiVirSchedulerService;Avira AntiVir Planer; F:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; F:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 cmdAgent;COMODO Internet Security Helper Service; F:\Programme\Comodo\COMODO Internet Security\cmdagent.exe [2009-11-05 723632]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-06-01 155715]
R2 O&O Defrag;O&O Defrag; C:\WINDOWS\system32\oodag.exe [2005-03-21 225280]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R2 WMDM PMSP Service;WMDM PMSP Service; C:\WINDOWS\system32\MsPMSPSv.exe [2000-06-26 53520]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2005-08-02 86016]
S4 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.exe []

-----------------EOF-----------------

cosinus · 08.11.2009, 12:23

Zitat:

F:\Programme\Comodo\COMODO Internet Security\cmdagent.exe

Wenn Du schon AntiVir benutzt, solltest Du auf weitere derartige Software verzichten. Außerdem kann ich von Security Suites grundsätzlich nur abraten, da diese eine Personal Firewall enthalten. Verwende besser die Windows-Firewall.
Personal Firewalls klinken sich in den TCP-IP-Stack von Windows ein und erhöhen den netzwerkrelevanten Code erheblich. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Nach der Deinstallation von Comodo bitte Combofix ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Trikinin · 08.11.2009, 14:13

Hi, also hier hab ich die Combofixlog. Danke für die bisherige Hilfe.
Gruß Trikinin

ComboFix 09-11-07.02 - Trikinin 08.11.2009 13:51.1.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokumente und einstellungen\Bogeyman\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\xp-AntiSpy.lnk
c:\dokumente und einstellungen\Bogeyman\Desktop\SoSe 07 Arbeitsschritte für die schriftliche Fallrekonstruktion
c:\dokumente und einstellungen\Bogeyman\Desktop\SoSe 07 Arbeitsschritte für die schriftliche Fallrekonstruktion
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\Autorun.inf
I:\Autorun.inf
K:\autorun.inf
M:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-08 bis 2009-11-08 ))))))))))))))))))))))))))))))
.

2009-11-07 14:47 . 2009-11-07 14:48 -------- d-----w- C:\rsit
2009-11-07 12:02 . 2009-11-07 12:02 -------- d-----w- c:\dokumente und einstellungen\Bogeyman\Anwendungsdaten\Malwarebytes
2009-11-07 12:02 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-07 12:02 . 2009-11-07 12:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-07 12:02 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-05 11:58 . 2009-11-08 12:34 1474832 ----a-w- c:\windows\system32\drivers\sfi.dat
2009-11-05 11:10 . 2009-11-08 10:41 11904 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2009-11-05 11:08 . 2009-11-07 12:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-05 11:04 . 2009-11-05 11:19 -------- d-----w- c:\windows\Internet Logs
2009-11-05 11:03 . 2009-11-05 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hitman Pro
2009-11-05 11:03 . 2009-11-05 11:03 -------- d-----w- c:\programme\Hitman Pro 3.5
2009-11-04 17:05 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-04 17:05 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-04 17:05 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-04 17:05 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-04 17:05 . 2009-11-04 17:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-03 18:20 . 2009-11-03 18:20 -------- d-----w- c:\windows\system32\LogFiles
2009-10-23 14:26 . 2009-10-23 14:27 -------- d--h--w- c:\programme\Zero G Registry
2009-10-23 14:26 . 2009-10-23 14:26 -------- d--h--w- c:\dokumente und einstellungen\Bogeyman\InstallAnywhere

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-08 12:34 . 2001-08-18 10:00 63580 ----a-w- c:\windows\system32\perfc007.dat
2009-11-08 12:34 . 2001-08-18 10:00 391000 ----a-w- c:\windows\system32\perfh007.dat
2009-11-05 11:13 . 2006-08-15 13:24 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-03 15:09 . 2006-09-14 12:00 37888 ----a-w- c:\windows\system32\setupnt.dll
2009-11-03 15:09 . 2006-09-14 12:00 28096 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-11-03 15:09 . 2006-09-14 12:00 208640 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-08-26 16:53 . 2006-08-16 14:38 164799 ----a-w- c:\windows\War3Unin.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="f:\programme\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"SpybotSD TeaTimer"="f:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 45056]
"DAEMON Tools"="f:\programme\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]
"Acronis*True*Image Monitor"="f:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2009-11-03 417431]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-09-14 61440]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-03-27 593920]
"CloneCDElbyCDFL"="f:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"CloneCDTray"="f:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-11-04 73728]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HitmanPro35"="c:\programme\Hitman Pro 3.5\HitmanPro35.exe" [2009-11-05 4877048]
" Malwarebytes Anti-Malware (reboot)"="f:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-06-01 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-06-01 86016]
"CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2005-12-08 16384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - f:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=3 (0x3)
"TapiSrv"=3 (0x3)
"Creative Service for CDROM Access"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 18:05 108289]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [02.10.2003 13:47 666624]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*Deregistered* - mbr
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &ICQ Toolbar Search - f:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - f:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Bogeyman\Anwendungsdaten\Mozilla\Firefox\Profiles\9ijlntqr.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF - plugin: f:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\programme\DivX\DivX Web Player\npdivx32.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-SBDrvDet - c:\programme\Creative\SB Drive Det\SBDrvDet.exe
HKLM-Run-D-Link Air USB Utility - f:\programme\D-Link\Air USB Utility\AirCFG.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-08 13:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86FD61E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86f6a1e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="07D40D5FA17BEF181CB016AAC5B9FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12 7BECC74CA6A0AC4980AC7933A2D97226D213B555A6171C11EC38DE3DFEBC9E127BECC74CC8EA8568BDA83A26868E732CFC4D22E9BB9765972B463EDB97E8D93EF6C2C9D65F35328DD8A24A 6C7ECDBE3F2BAED38B21CE4A27D426696A6789BF48F41B644A2154DD3EB52071091D9578F61A42957D862AC93A6AD7D12ED422D500A59BC249C9375C9E8B1AE4FD00AEDE3C316E57180974 2D9DA7CCBD701D168B39B5E2A431570066A497FDFC5F071B124A5D0E2A430AAA9C704AEE1992C2003518D1856C778D06191B992BB657550F17AF0F6D437E2FF9A82A149672870C2D09952E 0BA42373D2F2A1D378B3A253EE59D1BBD0FC5B614AC291C814FB560320A4020170F7D254A459290FAE38932FD8A468DA6C5581CC32C044B4A98E9AF60D04FD84A4B5353FED15FA958AAE0E 561BAA7E6AEA6E296400DD33A38EA282F7DD0D7EF78DD28F87D6D230393C210DFEBA0174696A8DA25BB2B722E76E58D25CB0074E1D01E73944B8A1B74B69421C20EDA07E5E7C1D4F2CFE51 2BD6E7F2E140D69B0BBB4CAE9D50A177D4252C675D752067A251A82BA5134D11B9C98D581B8055DCA61D2E08BFCA552C1D2110088680F096BDCDE6E92F123BC01020E794FC3F663C6591DC 77311849FAFD2016C2DE05B453006627AD0CED188FC1B970D51DE2F611E2EA7EA69CDCA8063306B4D7C60B72A76CAD49726CAFE90F387C966E2016A8180D7F2F5F3C8751515139D2AA2D5D 6501DABD25D397A568B7AFD2BDD6C246516F23A98013E1C3D6C4BE265046180FFDAF78B20595E6DEFEE0392ABCA854A47A9B3EC87555EF87FEACB6BBFA562172DEEA432DA49CCAB24FCABA 73DDA3382961034640855CE00945B9476E9AAC759E5FC98FD238F343382E186BA4E02AE40EF671F8751E863F42D600D236E63D55F18CCB854B64C8684E23CED7B879C2E5CF629668D31E52 2CF41778110D8D21970BA4D02043456C63946B58622B4D19DA327B857AC959E35CA19B7F8C73AE95A4CE9A1FB0EA66D57271F6843E7F79FB77B9D1B569C99802179130D424EDDF7B79E518 60D878CA1D678E6B05753A89DD01322403C2C9181BB84DD29D89832958283BF6A012A26903AAD6A1EFE36505575529E9ABE64507BE33273662C5BF8953D400C6D228A72A6834FDA3C03B8E DE20E2704DD30EBB8A9E8830BF8EB1B2F03AB927CBCB3947EC5193F634D400C70499AB9EA904BFAE3A93523F8BF37CEFC3FE25E9FBC43BC60469EA7CC66F0AA5D346C78D12255B25211ABC 716845A90E5C3576C406DAF3EE34FD708A053687C3204C63DA4C091129BF5186A4561C0FA90796A3F64690018BB7816DE249B4F73D3177BC6ACF62684A8BFE07FB0E"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
f:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\oodag.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-08 14:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-08 13:01

Vor Suchlauf: 4.849.516.544 Bytes frei
Nach Suchlauf: 4.835.844.096 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - F145C596C67ACF8E01A35D286DF7DF01

cosinus · 08.11.2009, 16:01

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

KILLALL::

MBR::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=-
"TapiSrv"=-
"Creative Service for CDROM Access"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-

File::
c:\windows\system32\drivers\sfi.dat

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Trikinin · 08.11.2009, 16:48

So, hier ist die gewünschte log. Bis hier hin schonmal vielen Dank!
LG Trikinin

ComboFix 09-11-07.02 - Trikinin 08.11.2009 16:33.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.630 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Bogeyman\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Bo***n\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\windows\system32\drivers\sfi.dat"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\sfi.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-08 bis 2009-11-08 ))))))))))))))))))))))))))))))
.

2009-11-08 13:12 . 2009-11-08 13:16 -------- d-----w- C:\cofi5736c
2009-11-08 12:48 . 2009-11-08 13:01 -------- d-----w- C:\cofi
2009-11-07 14:47 . 2009-11-07 14:48 -------- d-----w- C:\rsit
2009-11-07 12:02 . 2009-11-07 12:02 -------- d-----w- c:\dokumente und einstellungen\Bogeyman\Anwendungsdaten\Malwarebytes
2009-11-07 12:02 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-07 12:02 . 2009-11-07 12:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-07 12:02 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-05 11:10 . 2009-11-08 10:41 11904 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2009-11-05 11:08 . 2009-11-07 12:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-05 11:04 . 2009-11-05 11:19 -------- d-----w- c:\windows\Internet Logs
2009-11-05 11:03 . 2009-11-05 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hitman Pro
2009-11-05 11:03 . 2009-11-05 11:03 -------- d-----w- c:\programme\Hitman Pro 3.5
2009-11-04 17:05 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-04 17:05 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-04 17:05 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-04 17:05 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-04 17:05 . 2009-11-04 17:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-03 18:20 . 2009-11-03 18:20 -------- d-----w- c:\windows\system32\LogFiles
2009-10-23 14:26 . 2009-10-23 14:27 -------- d--h--w- c:\programme\Zero G Registry
2009-10-23 14:26 . 2009-10-23 14:26 -------- d--h--w- c:\dokumente und einstellungen\Bogeyman\InstallAnywhere

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-08 13:03 . 2006-08-16 12:17 21032 ----a-w- c:\dokumente und einstellungen\Bogeyman\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-08 12:34 . 2001-08-18 10:00 63580 ----a-w- c:\windows\system32\perfc007.dat
2009-11-08 12:34 . 2001-08-18 10:00 391000 ----a-w- c:\windows\system32\perfh007.dat
2009-11-05 11:13 . 2006-08-15 13:24 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-03 15:09 . 2006-09-14 12:00 37888 ----a-w- c:\windows\system32\setupnt.dll
2009-11-03 15:09 . 2006-09-14 12:00 28096 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-11-03 15:09 . 2006-09-14 12:00 208640 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-08-26 16:53 . 2006-08-16 14:38 164799 ----a-w- c:\windows\War3Unin.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="f:\programme\DAEMON Tools\daemon.exe" [2007-04-03 165784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 45056]
"DAEMON Tools"="f:\programme\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]
"Acronis*True*Image Monitor"="f:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2009-11-03 417431]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-09-14 61440]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-03-27 593920]
"CloneCDElbyCDFL"="f:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"CloneCDTray"="f:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-11-04 73728]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HitmanPro35"="c:\programme\Hitman Pro 3.5\HitmanPro35.exe" [2009-11-05 4877048]
" Malwarebytes Anti-Malware (reboot)"="f:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-06-01 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-06-01 86016]
"CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2005-12-08 16384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - f:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"k:\\0706\\emule.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 18:05 108289]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [02.10.2003 13:47 666624]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mbr
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &ICQ Toolbar Search - f:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - f:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Bogeyman\Anwendungsdaten\Mozilla\Firefox\Profiles\9ijlntqr.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF - plugin: f:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\programme\DivX\DivX Web Player\npdivx32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-08 16:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86FD61E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86f6a1e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="07D40D5FA17BEF181CB016AAC5B9FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12 7BECC74CA6A0AC4980AC7933A2D97226D213B555A6171C11EC38DE3DFEBC9E127BECC74CC8EA8568BDA83A26868E732CFC4D22E9BB9765972B463EDB97E8D93EF6C2C9D65F35328DD8A24A 6C7ECDBE3F2BAED38B21CE4A27D426696A6789BF48F41B644A2154DD3EB52071091D9578F61A42957D862AC93A6AD7D12ED422D500A59BC249C9375C9E8B1AE4FD00AEDE3C316E57180974 2D9DA7CCBD701D168B39B5E2A431570066A497FDFC5F071B124A5D0E2A430AAA9C704AEE1992C2003518D1856C778D06191B992BB657550F17AF0F6D437E2FF9A82A149672870C2D09952E 0BA42373D2F2A1D378B3A253EE59D1BBD0FC5B614AC291C814FB560320A4020170F7D254A459290FAE38932FD8A468DA6C5581CC32C044B4A98E9AF60D04FD84A4B5353FED15FA958AAE0E 561BAA7E6AEA6E296400DD33A38EA282F7DD0D7EF78DD28F87D6D230393C210DFEBA0174696A8DA25BB2B722E76E58D25CB0074E1D01E73944B8A1B74B69421C20EDA07E5E7C1D4F2CFE51 2BD6E7F2E140D69B0BBB4CAE9D50A177D4252C675D752067A251A82BA5134D11B9C98D581B8055DCA61D2E08BFCA552C1D2110088680F096BDCDE6E92F123BC01020E794FC3F663C6591DC 77311849FAFD2016C2DE05B453006627AD0CED188FC1B970D51DE2F611E2EA7EA69CDCA8063306B4D7C60B72A76CAD49726CAFE90F387C966E2016A8180D7F2F5F3C8751515139D2AA2D5D 6501DABD25D397A568B7AFD2BDD6C246516F23A98013E1C3D6C4BE265046180FFDAF78B20595E6DEFEE0392ABCA854A47A9B3EC87555EF87FEACB6BBFA562172DEEA432DA49CCAB24FCABA 73DDA3382961034640855CE00945B9476E9AAC759E5FC98FD238F343382E186BA4E02AE40EF671F8751E863F42D600D236E63D55F18CCB854B64C8684E23CED7B879C2E5CF629668D31E52 2CF41778110D8D21970BA4D02043456C63946B58622B4D19DA327B857AC959E35CA19B7F8C73AE95A4CE9A1FB0EA66D57271F6843E7F79FB77B9D1B569C99802179130D424EDDF7B79E518 60D878CA1D678E6B05753A89DD01322403C2C9181BB84DD29D89832958283BF6A012A26903AAD6A1EFE36505575529E9ABE64507BE33273662C5BF8953D400C6D228A72A6834FDA3C03B8E DE20E2704DD30EBB8A9E8830BF8EB1B2F03AB927CBCB3947EC5193F634D400C70499AB9EA904BFAE3A93523F8BF37CEFC3FE25E9FBC43BC60469EA7CC66F0AA5D346C78D12255B25211ABC 716845A90E5C3576C406DAF3EE34FD708A053687C3204C63DA4C091129BF5186A4561C0FA90796A3F64690018BB7816DE249B4F73D3177BC6ACF62684A8BFE07FB0E"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\RunDLL32.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
f:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\oodag.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-08 16:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-08 15:39
ComboFix2.txt 2009-11-08 13:16
ComboFix3.txt 2009-11-08 13:01

Vor Suchlauf: 4.823.777.280 Bytes frei
Nach Suchlauf: 4.813.905.920 Bytes frei

- - End Of File - - 3C04C55363DB81F09DA5FD101F92A765

cosinus · 08.11.2009, 16:59

Schon etwas besser

i.) Starte den Rechner neu und dann die Wiederherstellungskonsole. Ganz am Anfang hast Du lt. Logfile zwei Sekunden Zeit dafür. Bewege die Peiltaste hoch oder runter und wähle dann die Wiederherstellungskonsole.
Dort bitte einloggen und diesen Befehl eintippen und mit ENTER ausführen: fixmbr
Rechner mit dem Befehl exit neustarten im normalen Windows Modus.

ii.) Im normalen Modus angekommen Avenger ausführen:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | k:\\0706\\emule.exe

Folders to delete:
k:\0706

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Trikinin · 10.11.2009, 15:51

Hi..sry war ne Weile net am Rechner.
Hm, hab die Wiederherstellungskonsole aufgerufen und fixmbr eingegeben.
Ich hab ne Warnung bekommen, dass ich möglicherweise meine Partitionstabellen schädigen würde und fixmbr nur durchführen soll, wenn ich Probleme beim Öffnen der Partitionen habe.
Kann ich es trotzdem bedenkenlos machen??
Ich will meine Daten nicht dadurch verlieren, oer kann da nichts passieren.
Bin da lieber vorsichtig und warte auf deine Antwort.

LG Trikinin

cosinus · 10.11.2009, 15:53

Nein, Du verlierst keine Daten dadurch. Hab den Befehl schon zig Mal selber ausgeführt...

10.11.2009, 15:53	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Crypt.ZPACK.Gen von Antivir entdeckt. Lässt sich nicht löschen. Nein, Du verlierst keine Daten dadurch. Hab den Befehl schon zig Mal selber ausgeführt... __________________ Logfiles bitte immer in CODE-Tags posten

TR/Crypt.ZPACK.Gen von Antivir entdeckt. Lässt sich nicht löschen.

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen von Antivir entdeckt. Lässt sich nicht löschen.