Problem nach Renos.jm(?)-Befall

vierauge · 29.12.2009, 23:41

Hi,

hab mir offensichtlich den o.g. Trojaner eingefangen und scheinbar erfolglos versucht, das Problem selbst zu lösen. Windows Defender hat ihn erkannt und in meiner Unwissenheit hab ich "entfernen" gewählt.
Jetzt erhoffe ich mir hier Hilfe.

Nach Verwendung von CCleaner blieb folgender Fehler erhalten:

Code:

ATTFilter

Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Mein mbam-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3451
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

29.12.2009 22:00:09
mbam-log-2009-12-29 (22-00-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 276465
Laufzeit: 59 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

rsit info log:

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-12-29 22:26:16

======Uninstall list======

-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
1.25-->"C:\Program Files\Freshworx\etope Lister\unins000.exe"
AC3Filter (remove only)-->C:\Program Files\AC3Filter\uninstall.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop CS3-->C:\Program Files\Common Files\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Reader 8.1.7 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
Ashampoo Burning Studio 6 FREE-->"C:\Program Files\Ashampoo\Ashampoo Burning Studio 6 FREE\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
Call of Duty(R) - World at War(TM)-->C:\Program Files\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x0407
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
EPSON-Drucker-Software-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
FIFA 09-->MsiExec.exe /X{2315B23D-3E21-4920-837D-AE6460934ECB}
FirstSteps Diagnostics-->MsiExec.exe /X{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}
Free Audio CD Burner version 1.2-->"C:\Program Files\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"C:\Program Files\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
FSCLounge-->MsiExec.exe /I{9A3BC157-B94F-4EFD-ABA9-1E56DEB00655}
Google Earth-->MsiExec.exe /X{C084BC61-E537-11DE-8616-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Haufe iDesk-Browser-->MsiExec.exe /X{F48AAE0F-52F4-11DD-B1F7-0050560400B1}
Haufe iDesk-Service-->MsiExec.exe /X{D5C8E140-6E6F-11DD-9AA9-0050560400B1}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ImgBurn-->"C:\Program Files\ImgBurn\uninstall.exe"
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Lexware Info Service-->MsiExec.exe /X{69496452-FAF3-43BC-9907-BA9CEC65FC10}
Logitech High Quality Video-->MsiExec.exe /X{281D28EC-1357-4778-B2D7-DEA56D70EF96}
Logitech Webcam Software-Treiberpaket-->"C:\Program Files\Common Files\LogiShrd\LogiDriverStore\lvdrivers\12.0.1278\LgDrvInst.exe" -remove -instdir"C:\Program Files\Common Files\LogiShrd\LogiDriverStore\lvdrivers\" -enumdelay=200 -enabledifx -forcedelete -usbhubsfirst -forceremove -cumulativeremove -arpregkey"lvdrivers_12.0" /clone_wait /hide_progress
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Medal of Honor Airborne-->MsiExec.exe /X{25F28E39-FDBB-11DB-8314-0800200C9A66}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.5.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MusicBrainz Picard 0.11-->C:\Program Files\MusicBrainz Picard\uninst.exe
Nero 7 Premium-->MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA GAME System Software 2.8.1-->MsiExec.exe /I{4F0C7CCF-5666-474B-B02E-AC514A95EC93}
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
NVIDIA Stereoscopic 3D Driver-->C:\Windows\system32\nvStInst.exe /uninstall /ask
PDFCreator Toolbar-->"C:\Windows\PDFCreator_Toolbar_Uninstaller_8562.exe"  _?=C:\Program Files\PDFCreator Toolbar
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Picasa 3-->"C:\Program Files\Picasa2\Uninstall.exe"
ProtectDisc Driver, Version 11-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v11.exe
QuickSteuer Deluxe 2009-->C:\Program Files\InstallShield Installation Information\{89863727-B08E-401F-995B-14398B28DE3D}\Setup.exe -runfromtemp -l0x0007 -removeonly
QuickSteuer DELUXE Wissens-Center 2009-->MsiExec.exe /X{353EA50E-26A0-4ADD-A12A-3FE2E59E5BB3}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
SimCity 4 Deluxe-->C:\Program Files\Maxis\SimCity 4 Deluxe\EAUninstall.exe
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Sun ODF Plugin for Microsoft Office 1.2-->MsiExec.exe /X{5A29E75C-A8DE-49B4-9AF3-2266CE76C428}
SUPER © Version 2009.bld.36 (June 10, 2009)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
Supreme Auction-->"C:\Program Files\Supreme Auction\unins000.exe"
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR Archivierer-->C:\Program Files\WinRAR\uninstall.exe
Xvid 1.1.3 final uninstall-->"C:\Program Files\Xvid\unins000.exe"

Hosts File Missing
======Security center information======

AS: Windows-Defender (disabled)

======System event log======

Computer Name: ***-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948609-138_neutral_GDR aus Paket KB948609 (Update) in den Status Installiert(Installed) gesetzt.
Record Number: 77925
Source Name: Microsoft-Windows-Servicing
Time Written: 20090710182434.000000-000
Event Type: Informationen
User: ***-PC\***

Computer Name: ***-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948609-136_neutral_GDR aus Paket KB948609 (Update) in den Status Installiert(Installed) gesetzt.
Record Number: 77924
Source Name: Microsoft-Windows-Servicing
Time Written: 20090710182434.000000-000
Event Type: Informationen
User: ***-PC\***

Computer Name: ***-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948609-134_neutral_GDR aus Paket KB948609 (Update) in den Status Installiert(Installed) gesetzt.
Record Number: 77923
Source Name: Microsoft-Windows-Servicing
Time Written: 20090710182434.000000-000
Event Type: Informationen
User: ***-PC\***

Computer Name: ***-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948609-132_neutral_GDR aus Paket KB948609 (Update) in den Status Installiert(Installed) gesetzt.
Record Number: 77922
Source Name: Microsoft-Windows-Servicing
Time Written: 20090710182434.000000-000
Event Type: Informationen
User: ***-PC\***

Computer Name: ***-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948609-130_neutral_GDR aus Paket KB948609 (Update) in den Status Installiert(Installed) gesetzt.
Record Number: 77921
Source Name: Microsoft-Windows-Servicing
Time Written: 20090710182434.000000-000
Event Type: Informationen
User: ***-PC\***

=====Application event log=====

Computer Name: LH-W1R7RZDU0GWZ
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet.  


Record Number: 276
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080609175422.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: LH-37XBECOGCRUS
Event Code: 36
Message: 
Record Number: 275
Source Name: ccSvcHst
Time Written: 20080207154756.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: LH-37XBECOGCRUS
Event Code: 1003
Message: Softwarelizenzierungsdienst hat die Überprüfung des Lizenzierungsstatus abgeschlossen.
Anwendungs-ID=55c92734-d682-4d71-983e-d6ec3f16059f
Lizenzierungsstatus=
{1,[9e042223-03bf-49ae-808f-ff37f128d40d, 8, 0xC004F014,0x0]}

{1,[a4eec485-e375-48b4-8f51-80d13a4086b6, 8, 0xC004F014,0x0]}

{1,[b6795467-dc45-4acf-af87-e948ee3f15f4, 8, 0xC004F014,0x0]}

{1,[bffdc375-bbd5-499d-8ef1-4f37b61c895f, 0, 0x0,0x0],[0x0,0x0,0x0,0,0,0x0],[0x0,0xFFFFFFFF,0x0,0,0,0x0],[0x0,0xFFFFFFFF,0x0,0,0,0x0],[0,0,0x0]}

{1,[f3acdd3c-119a-4932-a3d7-0b6f33a1dca9, 8, 0xC004F014,0x0]}

{1,[afd5f68f-b70f-4000-a21d-28dbc8be8b07, 8, 0xC004F014,0x0]}

Record Number: 274
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20080207154751.000000-000
Event Type: Informationen
User: 

Computer Name: LH-37XBECOGCRUS
Event Code: 1033
Message: Die Richtlinien werden ausgeschlossen, da sie nur mit dem override-only-Attribut definiert wurden.
Richtliniennamen=(IIS-W3SVC-MaxConcurrentRequests) (Telnet-Client-EnableTelnetClient) (Telnet-Client-EnableTelnetClient_w) (Telnet-Server-EnableTelnetServer) (Telnet-Server-EnableTelnetServer_w) 
Anwendungs-ID=55c92734-d682-4d71-983e-d6ec3f16059f
SKU-ID=bffdc375-bbd5-499d-8ef1-4f37b61c895f
Record Number: 273
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20080207154751.000000-000
Event Type: Informationen
User: 

Computer Name: LH-37XBECOGCRUS
Event Code: 1013
Message: Der Windows-Suchdienst wurde normal beendet.

Record Number: 272
Source Name: Microsoft-Windows-Search
Time Written: 20080207154738.000000-000
Event Type: Informationen
User: 

=====Security event log=====

Computer Name: ***-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 10699
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081107162512.343836-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: ***-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		***-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Anmeldetyp:			5

Neue Anmeldung:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x270
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	 - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 10698
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081107162512.343836-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: ***-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		***-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Zielserver:
	Zielservername:	localhost
	Weitere Informationen:	localhost

Prozessinformationen:
	Prozess-ID:		0x270
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Netzwerkadresse:	-
	Port:			-

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 10697
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081107162512.343836-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: ***-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-1-5-21-1919384792-1102080798-87328928-1000
	Kontoname:		***
	Kontodomäne:		***-PC
	Anmelde-ID:		0x3afad

Berechtigungen:		SeSecurityPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeTakeOwnershipPrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeLoadDriverPrivilege
			SeImpersonatePrivilege
Record Number: 10696
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081107162222.543619-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: ***-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		***-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Anmeldetyp:			2

Neue Anmeldung:
	Sicherheits-ID:		S-1-5-21-1919384792-1102080798-87328928-1000
	Kontoname:		***
	Kontodomäne:		***-PC
	Anmelde-ID:		0x3afcd
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x3c8
	Prozessname:		C:\Windows\System32\winlogon.exe

Netzwerkinformationen:
	Arbeitsstationsname:	***-PC
	Quellnetzwerkadresse:	127.0.0.1
	Quellport:		0

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		User32 
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	 - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 10695
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081107162222.543619-000
Event Type: Überwachung erfolgreich
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Haufe\iDesk\iDeskService\;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=4

-----------------EOF-----------------

und das log:

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-12-29 22:26:04
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 206 GB (66%) free of 311 GB
Total RAM: 3071 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:13, on 29.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Downloads\***\RSIT.exe
C:\Program Files\trend micro\***.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [recinfo313] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\Windows\TEMP\E_SF2BC.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe 20091203
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9e91e664eb6e4) (gupdate1c9e91e664eb6e4) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 6845 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-08-22 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]
PDFCreator Toolbar Helper - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-06-15 806912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - PDFCreator Toolbar - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-06-15 806912]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-18 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-12-17 4718592]
"recinfo313"=c:\RecInfo\RecInfo.exe [2007-10-23 2764800]
"EPSON Stylus DX3800 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE [2005-02-08 98304]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-10-03 39792]
"NeroFilterCheck"=C:\Windows\system32\NeroCheck.exe [2005-09-25 155648]
"Skytel"=C:\Windows\Skytel.exe [2007-11-20 1826816]
"LexwareInfoService"=C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe [2008-09-11 339240]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2007-11-06 86016]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2007-11-06 8530464]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2007-11-06 81920]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]
" Malwarebytes Anti-Malware  (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-12-03 1394000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"fsc-reg"=C:\ProgramData\fsc-reg\fscreg.exe [2007-11-08 533264]
"DAEMON Tools Lite"=C:\Program Files\DAEMON Tools Lite\daemon.exe [2008-04-01 486856]
"AlcoholAutomount"=C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe [2007-10-25 563984]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
C:\Programme\Logitech\QuickCam\Quickcam.exe [2007-10-25 2178832]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4d73e1b-6edb-11de-8b91-955c96429f7c}]
shell\AutoRun\command - F:\Launcher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d508d0e6-60ab-11dd-9aa2-001e901049bd}]
shell\AutoRun\command - K:\Autorun.exe


======List of files/folders created in the last 1 months======

2009-12-29 22:26:05 ----D---- C:\Program Files\trend micro
2009-12-29 22:26:04 ----D---- C:\rsit
2009-12-27 23:22:35 ----D---- C:\Users\***\AppData\Roaming\Malwarebytes
2009-12-27 23:22:30 ----D---- C:\ProgramData\Malwarebytes
2009-12-27 23:22:30 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-12-27 23:02:43 ----D---- C:\Program Files\CCleaner
2009-12-21 19:44:32 ----D---- C:\Program Files\eRightSoft
2009-12-19 12:28:33 ----A---- C:\Windows\system32\wmp.dll
2009-12-19 12:28:30 ----A---- C:\Windows\system32\unregmp2.exe
2009-12-19 12:28:29 ----A---- C:\Windows\system32\wmploc.DLL
2009-12-19 12:28:15 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2009-12-19 12:28:15 ----A---- C:\Windows\system32\Apphlpdm.dll
2009-12-13 13:58:46 ----D---- C:\Users\***\AppData\Roaming\DAEMON Tools Lite
2009-12-13 13:58:24 ----D---- C:\ProgramData\DAEMON Tools Lite
2009-12-08 22:19:49 ----A---- C:\Windows\system32\nshhttp.dll
2009-12-08 22:19:48 ----A---- C:\Windows\system32\httpapi.dll
2009-12-08 21:43:29 ----A---- C:\Windows\system32\winhttp.dll
2009-12-08 21:43:18 ----A---- C:\Windows\system32\wininet.dll
2009-12-08 21:43:18 ----A---- C:\Windows\system32\mshtml.dll
2009-12-08 21:43:17 ----A---- C:\Windows\system32\urlmon.dll
2009-12-08 21:43:15 ----A---- C:\Windows\system32\ieui.dll
2009-12-08 21:43:15 ----A---- C:\Windows\system32\ieframe.dll
2009-12-08 21:43:13 ----A---- C:\Windows\system32\ieencode.dll
2009-12-08 21:43:11 ----A---- C:\Windows\system32\ieapfltr.dll
2009-12-08 21:42:48 ----A---- C:\Windows\system32\rastls.dll

======List of files/folders modified in the last 1 months======

2009-12-29 22:26:13 ----D---- C:\Windows\Prefetch
2009-12-29 22:26:06 ----D---- C:\Windows\Temp
2009-12-29 22:26:05 ----D---- C:\Program Files
2009-12-29 21:58:27 ----SHD---- C:\System Volume Information
2009-12-29 21:55:45 ----D---- C:\Windows\system32\drivers
2009-12-29 21:03:06 ----D---- C:\Windows\System32
2009-12-29 21:03:06 ----D---- C:\Windows\inf
2009-12-29 21:03:06 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-12-29 20:58:01 ----D---- C:\Windows\Tasks
2009-12-29 20:55:50 ----D---- C:\ProgramData\NVIDIA
2009-12-28 22:53:59 ----SHD---- C:\Windows\Installer
2009-12-28 22:51:26 ----D---- C:\ProgramData\Google Updater
2009-12-28 11:36:42 ----D---- C:\Program Files\Mozilla Firefox
2009-12-28 01:23:54 ----D---- C:\Windows\system32\wbem
2009-12-28 01:23:54 ----D---- C:\Windows
2009-12-28 01:23:15 ----D---- C:\Windows\system32\Tasks
2009-12-28 01:23:15 ----D---- C:\Windows\system32\spool
2009-12-28 01:23:15 ----D---- C:\Windows\system32\CodeIntegrity
2009-12-28 01:23:15 ----D---- C:\Windows\system32\catroot2
2009-12-28 01:23:15 ----D---- C:\Users\***\AppData\Roaming\uTorrent
2009-12-28 01:23:15 ----D---- C:\Users\***\AppData\Roaming\DAEMON Tools
2009-12-28 01:23:14 ----D---- C:\Windows\registration
2009-12-28 01:01:05 ----D---- C:\Windows\Panther
2009-12-27 23:22:30 ----D---- C:\ProgramData
2009-12-27 23:04:28 ----D---- C:\Windows\Minidump
2009-12-27 23:04:28 ----D---- C:\Windows\Debug
2009-12-27 22:40:50 ----D---- C:\Program Files\EA Sports
2009-12-23 20:05:57 ----D---- C:\Windows\system32\LogFiles
2009-12-21 19:45:18 ----RSD---- C:\Windows\Fonts
2009-12-20 12:40:41 ----D---- C:\Users\***\AppData\Roaming\Skype
2009-12-20 12:06:59 ----D---- C:\Users\***\AppData\Roaming\skypePM
2009-12-19 18:16:10 ----D---- C:\Windows\rescache
2009-12-19 18:13:59 ----D---- C:\Windows\winsxs
2009-12-19 12:36:10 ----D---- C:\Windows\system32\catroot
2009-12-19 12:33:59 ----D---- C:\Windows\system32\de-DE
2009-12-19 12:33:59 ----D---- C:\Windows\AppPatch
2009-12-19 12:33:59 ----D---- C:\Program Files\Windows Media Player
2009-12-13 13:59:55 ----D---- C:\Program Files\DAEMON Tools Lite
2009-12-08 22:25:19 ----D---- C:\ProgramData\Google
2009-12-08 22:25:19 ----D---- C:\Program Files\Google
2009-12-01 21:06:19 ----A---- C:\Windows\system32\mrt.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R2 acedrv11;acedrv11; \??\C:\Windows\system32\drivers\acedrv11.sys [2008-07-30 277736]
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-07-09 281760]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-09 56816]
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-07-09 25888]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-12-20 2032280]
R3 LVcKap;Logitech AEC Driver; C:\Windows\system32\DRIVERS\LVcKap.sys [2007-10-19 2109976]
R3 LVRS;Logitech RightSound Filter Driver; C:\Windows\system32\DRIVERS\lvrs.sys [2009-04-30 265496]
R3 LVUSBSta;Logitech USB Monitor Filter; C:\Windows\system32\drivers\LVUSBSta.sys [2007-10-12 41752]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-11-06 8230496]
R3 pepifilter;Volume Adapter; C:\Windows\system32\DRIVERS\lv302af.sys [2009-04-30 13976]
R3 PID_PEPI;Logitech QuickCam IM(PID_PEPI); C:\Windows\system32\DRIVERS\LV302V32.SYS [2009-04-30 2687512]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-11-16 216576]
R3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-11 73216]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-18 83328]
S1 InCDPass;InCDPass; C:\Windows\system32\drivers\InCDPass.sys []
S1 InCDRm;InCD Reader; C:\Windows\system32\drivers\InCDRm.sys []
S3 amfz8jzo;amfz8jzo; C:\Windows\system32\drivers\amfz8jzo.sys []
S3 azlmanqa;azlmanqa; C:\Windows\system32\drivers\azlmanqa.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-18 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 LVMVDrv;Logitech Machine Vision Engine Loader; C:\Windows\system32\DRIVERS\LVMVDrv.sys [2007-10-11 2142488]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-18 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-18 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-18 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-18 6016]
S3 rootrepeal;rootrepeal; \??\C:\Windows\system32\drivers\rootrepeal.sys []
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-18 35328]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-18 39936]
S4 iaStor;Intel RAID Controller; C:\Windows\system32\drivers\iastor.sys [2007-07-12 305176]
S4 InCDFs;InCD File System; C:\Windows\system32\drivers\InCDFs.sys []
S4 JRAID;JRAID; C:\Windows\system32\drivers\jraid.sys [2007-06-13 48256]
S4 nvrd32;NVIDIA nForce RAID Driver; C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 131616]
S4 nvstor32;nvstor32; C:\Windows\system32\drivers\nvstor32.sys [2007-07-02 110112]
S4 viamraid;viamraid; C:\Windows\system32\drivers\viamraid.sys [2006-11-08 102912]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2007-11-03 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 LVCOMSer;LVCOMSer; C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe [2007-10-19 186904]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-06-10 211488]
R2 PnkBstrA;PunkBuster; C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe [2007-08-15 63040]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Windows\System32\nvSCPAPISvr.exe [2009-06-10 232960]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler; C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 204800]
S2 CLTNetCnService;Symantec Lic NetConnect service; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon []
S2 gupdate1c9e91e664eb6e4;Google Update Service (gupdate1c9e91e664eb6e4); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-06-09 133104]
S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S2 LVSrvLauncher;LVSrvLauncher; C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe [2007-10-19 141848]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe []

-----------------EOF-----------------

hoffe, dass das nicht zu groß ausfällt und mir weitergeholfen werden kann. Dafür unb dass sich meines Problems überhaupt angenommen wird bedanke ich mich schon mal vorab.

Gruß,
L.L.

cosinus · 30.12.2009, 09:57

Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code:

ATTFilter

C:\Windows\system32\drivers\azlmanqa.sys

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

vierauge · 30.12.2009, 20:37

Hi,

vielen Dank erst einmal, dass du dich so schnell darum kümmern konntest. Die von dir erkannte Datei ließ sich nicht mehr finden. Ich gehe mal davon aus, dass das auch im abgesicherten Modus der Fall ist. Lop S&D hab ich ausgeführt.

Mein Lop S&D log:

Code:

ATTFilter

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft® Windows Vista™ Home Premium  ( v6.0.6002 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz )
   BIOS : Default System BIOS
   USER : *** ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:303 Go (Free:199 Go)
   D:\ (Local Disk) - NTFS - Total:150 Go (Free:77 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   J:\ (USB)
   K:\ (CD or DVD)
   L:\ (USB)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 30.12.2009|20:27 )

   [ UAC => 1 ]
 
   --------------------\\  Ordner Verzeichnis unter Local

   [28.12.2008|18:40] C:\Users\***\AppData\Local\Activision
   [11.06.2008|16:51] C:\Users\***\AppData\Local\Adobe
   [05.09.2008|14:56] C:\Users\***\AppData\Local\Ahead
   [09.06.2008|19:07] C:\Users\***\AppData\Local\Anwendungsdaten 
   [24.12.2008|11:54] C:\Users\***\AppData\Local\ashampoo
   [26.12.2009|20:38] C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
   [15.02.2009|17:35] C:\Users\***\AppData\Local\Fallout3
   [28.12.2009|01:02] C:\Users\***\AppData\Local\GDIPFONTCACHEV1.DAT
   [08.12.2009|22:25] C:\Users\***\AppData\Local\Google
   [26.05.2009|17:32] C:\Users\***\AppData\Local\Haufe
   [30.12.2009|00:25] C:\Users\***\AppData\Local\IconCache.db
   [24.01.2009|19:16] C:\Users\***\AppData\Local\Lexware
   [10.07.2009|19:39] C:\Users\***\AppData\Local\LogiShrd
   [03.12.2009|21:41] C:\Users\***\AppData\Local\Microsoft
   [28.12.2008|18:40] C:\Users\***\AppData\Local\Microsoft Games
   [09.06.2008|19:48] C:\Users\***\AppData\Local\Mozilla
   [12.08.2008|17:05] C:\Users\***\AppData\Local\Rossmann Fotoservice
   [09.06.2008|19:09] C:\Users\***\AppData\Local\Seven Zip
   [30.12.2009|20:26] C:\Users\***\AppData\Local\Temp
   [09.06.2008|19:07] C:\Users\***\AppData\Local\Temporary Internet Files 
   [09.06.2008|19:58] C:\Users\***\AppData\Local\Thunderbird
   [09.06.2008|19:07] C:\Users\***\AppData\Local\Verlauf 
   [11.06.2008|17:26] C:\Users\***\AppData\Local\VirtualStore
   [3|Datei(en),] C:\Users\***\AppData\Local\Bytes
   [22|Verzeichnis(se),] C:\Users\***\AppData\Local\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\Windows\Tasks

   [29.12.2009 23:53][--a------] C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
   [30.12.2009 20:21][--a------] C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
   [30.12.2009 20:23][--a------] C:\Windows\tasks\Google Software Updater.job
   [30.12.2009 20:20][--ah-----] C:\Windows\tasks\SA.DAT
   [30.12.2009 00:25][--a------] C:\Windows\tasks\SCHEDLGU.TXT

   --------------------\\  Ordner Verzeichnis unter C:\ProgramData
   
   [18.10.2009|15:23] C:\ProgramData\Adobe
   [09.06.2008|19:03] C:\ProgramData\Anwendungsdaten 
   [07.02.2009|13:39] C:\ProgramData\Apple
   [02.11.2006|14:02] C:\ProgramData\Application Data 
   [24.12.2008|11:54] C:\ProgramData\ashampoo
   [22.03.2009|14:23] C:\ProgramData\Avira
   [26.07.2008|15:25] C:\ProgramData\BTrieve
   [13.12.2009|13:59] C:\ProgramData\DAEMON Tools Lite
   [02.11.2006|14:02] C:\ProgramData\Desktop 
   [02.11.2006|14:02] C:\ProgramData\Documents 
   [09.06.2008|19:03] C:\ProgramData\Dokumente 
   [18.06.2008|22:13] C:\ProgramData\ezsidmv.dat
   [09.06.2008|19:03] C:\ProgramData\Favoriten 
   [02.11.2006|14:02] C:\ProgramData\Favorites 
   [10.06.2008|21:34] C:\ProgramData\fsc
   [09.06.2008|19:09] C:\ProgramData\fsc-reg
   [08.12.2009|22:25] C:\ProgramData\Google
   [29.12.2009|23:52] C:\ProgramData\Google Updater
   [26.07.2008|15:05] C:\ProgramData\Haufe
   [20.01.2009|19:16] C:\ProgramData\Lexware
   [22.06.2008|15:59] C:\ProgramData\Logishrd
   [27.12.2009|23:22] C:\ProgramData\Malwarebytes
   [16.11.2008|12:28] C:\ProgramData\Microsoft
   [30.06.2008|18:32] C:\ProgramData\Microsoft Help
   [30.12.2009|20:21] C:\ProgramData\NVIDIA
   [11.07.2009|14:06] C:\ProgramData\nvModes.001
   [11.07.2009|14:06] C:\ProgramData\nvModes.dat
   [13.09.2009|11:19] C:\ProgramData\Skype
   [02.11.2006|14:02] C:\ProgramData\Start Menu 
   [09.06.2008|19:03] C:\ProgramData\Startmenü 
   [09.06.2008|19:22] C:\ProgramData\Symantec
   [09.07.2009|20:28] C:\ProgramData\Tages
   [02.11.2006|14:02] C:\ProgramData\Templates 
   [09.06.2008|22:32] C:\ProgramData\Trymedia
   [09.06.2008|19:03] C:\ProgramData\Vorlagen 
   [22.01.2009|20:03] C:\ProgramData\Winter Sports 2009
   [3|Datei(en),] C:\ProgramData\Bytes
   [35|Verzeichnis(se),] C:\ProgramData\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Program Files

   [27.08.2008|21:07] C:\Program Files\AC3Filter
   [28.12.2008|18:16] C:\Program Files\Activision
   [04.12.2008|17:26] C:\Program Files\Adobe
   [27.06.2009|23:16] C:\Program Files\AGEIA Technologies
   [12.07.2009|13:03] C:\Program Files\Alcohol Soft
   [07.02.2008|16:15] C:\Program Files\Alice
   [24.12.2008|12:00] C:\Program Files\Ashampoo
   [22.03.2009|14:23] C:\Program Files\Avira
   [01.09.2008|17:05] C:\Program Files\AviSynth 2.5
   [15.02.2009|17:24] C:\Program Files\Bethesda Softworks
   [07.02.2008|16:16] C:\Program Files\BFG
   [07.02.2009|13:39] C:\Program Files\Bonjour
   [27.12.2009|23:02] C:\Program Files\CCleaner
   [27.12.2008|00:13] C:\Program Files\ChessBase
   [19.10.2009|14:40] C:\Program Files\Common Files
   [13.12.2009|13:59] C:\Program Files\DAEMON Tools Lite
   [24.10.2009|10:35] C:\Program Files\DivX
   [19.10.2009|14:40] C:\Program Files\DVDVideoSoft
   [27.12.2009|22:40] C:\Program Files\EA Sports
   [13.09.2008|16:42] C:\Program Files\Electronic Arts
   [02.08.2008|10:29] C:\Program Files\EPSON
   [21.12.2009|19:44] C:\Program Files\eRightSoft
   [04.10.2009|09:47] C:\Program Files\Freshworx
   [09.06.2008|19:09] C:\Program Files\Fujitsu Siemens Computers
   [09.06.2008|19:03] C:\Program Files\Gemeinsame Dateien [C:\Program Files\Common Files]
   [08.12.2009|22:25] C:\Program Files\Google
   [26.07.2008|15:05] C:\Program Files\Haufe
   [27.06.2009|12:52] C:\Program Files\ImgBurn
   [15.10.2009|15:58] C:\Program Files\InstallShield Installation Information
   [11.07.2009|14:57] C:\Program Files\Internet Explorer
   [17.11.2009|14:43] C:\Program Files\Java
   [26.07.2008|15:07] C:\Program Files\Lexware
   [10.07.2009|19:43] C:\Program Files\Logitech
   [27.12.2009|23:22] C:\Program Files\Malwarebytes' Anti-Malware
   [12.07.2009|10:34] C:\Program Files\Maxis
   [11.06.2008|23:29] C:\Program Files\Microsoft CAPICOM 2.1.0.2
   [02.11.2006|13:37] C:\Program Files\Microsoft Games
   [21.02.2009|15:32] C:\Program Files\Microsoft Games for Windows - LIVE
   [16.11.2008|12:28] C:\Program Files\Microsoft Office
   [09.06.2009|23:45] C:\Program Files\Microsoft Works
   [16.11.2008|12:28] C:\Program Files\Microsoft.NET
   [11.07.2009|14:57] C:\Program Files\Movie Maker
   [28.12.2009|11:36] C:\Program Files\Mozilla Firefox
   [22.08.2009|15:32] C:\Program Files\Mozilla Thunderbird
   [02.11.2006|13:37] C:\Program Files\MSBuild
   [07.02.2008|16:15] C:\Program Files\MSXML 4.0
   [23.08.2009|12:18] C:\Program Files\MusicBrainz Picard
   [07.02.2008|16:21] C:\Program Files\Nero
   [16.11.2008|12:59] C:\Program Files\OpenOffice.org 2.4
   [15.06.2008|10:03] C:\Program Files\PDFCreator
   [15.06.2008|10:03] C:\Program Files\PDFCreator Toolbar
   [11.07.2009|09:29] C:\Program Files\Picasa2
   [22.01.2009|20:01] C:\Program Files\ProtectDisc Driver Installer
   [02.11.2006|13:37] C:\Program Files\Reference Assemblies
   [13.09.2009|11:19] C:\Program Files\Skype
   [23.01.2009|15:52] C:\Program Files\Sun
   [22.08.2009|15:35] C:\Program Files\Supreme Auction
   [29.12.2009|22:26] C:\Program Files\trend micro
   [02.11.2006|14:01] C:\Program Files\Uninstall Information
   [11.07.2009|14:57] C:\Program Files\Windows Calendar
   [11.07.2009|14:57] C:\Program Files\Windows Collaboration
   [11.07.2009|14:57] C:\Program Files\Windows Defender
   [11.07.2009|14:57] C:\Program Files\Windows Journal
   [15.06.2008|16:09] C:\Program Files\Windows Live
   [09.09.2009|21:33] C:\Program Files\Windows Mail
   [19.12.2009|12:33] C:\Program Files\Windows Media Player
   [09.06.2008|19:03] C:\Program Files\Windows NT
   [11.07.2009|14:57] C:\Program Files\Windows Photo Gallery
   [11.07.2009|14:57] C:\Program Files\Windows Sidebar
   [26.07.2008|14:13] C:\Program Files\WinRAR
   [26.07.2008|10:12] C:\Program Files\Xvid
   [0|Datei(en),] C:\Program Files\Bytes
   [73|Verzeichnis(se),] C:\Program Files\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Program Files\Common Files

   [18.10.2009|13:06] C:\Program Files\Common Files\Adobe
   [16.11.2008|12:21] C:\Program Files\Common Files\Ahead
   [14.12.2008|16:45] C:\Program Files\Common Files\ChessBase
   [16.11.2008|12:28] C:\Program Files\Common Files\DESIGNER
   [24.10.2009|10:18] C:\Program Files\Common Files\DivX Shared
   [21.11.2009|12:23] C:\Program Files\Common Files\DVDVideoSoft
   [07.02.2008|16:31] C:\Program Files\Common Files\Fujitsu Siemens Computers
   [23.11.2008|11:50] C:\Program Files\Common Files\Haufe
   [26.07.2008|15:05] C:\Program Files\Common Files\InstallShield
   [15.06.2008|09:13] C:\Program Files\Common Files\Java
   [23.11.2008|11:48] C:\Program Files\Common Files\Lexware
   [10.07.2009|19:43] C:\Program Files\Common Files\LogiShrd
   [04.12.2008|17:18] C:\Program Files\Common Files\Macrovision Shared
   [16.11.2008|12:41] C:\Program Files\Common Files\microsoft shared
   [13.06.2009|14:02] C:\Program Files\Common Files\PX Storage Engine
   [02.11.2006|12:18] C:\Program Files\Common Files\Services
   [13.09.2009|11:19] C:\Program Files\Common Files\Skype
   [02.11.2006|12:18] C:\Program Files\Common Files\SpeechEngines
   [09.06.2008|19:24] C:\Program Files\Common Files\Symantec Shared
   [11.07.2009|14:57] C:\Program Files\Common Files\System
   [27.06.2009|23:16] C:\Program Files\Common Files\Wise Installation Wizard
   [0|Datei(en),] C:\Program Files\Common Files\Bytes
   [23|Verzeichnis(se),] C:\Program Files\Common Files\Bytes frei

   --------------------\\  Process

   ( 56 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
   Rootkit scan 2009-12-30 20:27:31
   Windows 6.0.6002 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen


   Kein anderen Infektionen gefunden !

   [F:3][D:1]-> C:\Users\***\AppData\Local\Temp
   [F:1][D:1]-> C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies
   [F:6][D:4]-> C:\Users\***\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
   [F:3][D:3]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 30.12.2009|20:28 - Option : [1]

   --------------------\\  Scan beendet um 20:28:28
   [ UAC => 1 ]

cosinus · 30.12.2009, 20:47

Okay, kein Problem. Offensichtlich sind keine Rootkits aktiv, mach aber mal nen Durchlauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

vierauge · 30.12.2009, 20:50

fast hätte ich es vergessen, mein allererstes mwab-Log: (sorry, dass es so spät kommt.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3441
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

28.12.2009 00:59:35
mbam-log-2009-12-28 (00-59-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 279075
Laufzeit: 1 hour(s), 33 minute(s), 56 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
C:\Windows\msa.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.

vierauge · 30.12.2009, 21:13

soll ich ComboFix dennoch anwenden?

cosinus · 30.12.2009, 21:14

Ja, bitte anwenden!

vierauge · 30.12.2009, 21:41

So sieht das ganze dann aus:

Code:

ATTFilter

ComboFix 09-12-29.06 - *** 30.12.2009  21:27:26.1.4 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3071.1908 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\cofi.exe.exe
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1761610536-2781228287-3795636607-500
c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\~.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-30  ))))))))))))))))))))))))))))))
.

2009-12-30 19:26 . 2009-12-30 19:28	--------	d-----w-	C:\Lop SD
2009-12-29 21:26 . 2009-12-29 21:26	--------	d-----w-	c:\program files\trend micro
2009-12-29 21:26 . 2009-12-29 21:26	--------	d-----w-	C:\rsit
2009-12-27 22:22 . 2009-12-27 22:22	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2009-12-27 22:22 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 22:22 . 2009-12-27 22:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-12-27 22:22 . 2009-12-27 22:22	--------	d-----w-	c:\programdata\Malwarebytes
2009-12-27 22:22 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-27 22:02 . 2009-12-27 22:02	--------	d-----w-	c:\program files\CCleaner
2009-12-25 10:47 . 2009-12-25 16:56	--------	d-----w-	c:\users\***\Filme
2009-12-21 18:44 . 2009-12-21 18:44	--------	d-----w-	c:\program files\eRightSoft
2009-12-19 11:28 . 2009-09-10 14:58	310784	----a-w-	c:\windows\system32\unregmp2.exe
2009-12-19 11:28 . 2009-09-10 14:59	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-12-19 11:28 . 2009-08-29 00:27	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2009-12-19 11:28 . 2009-08-29 00:14	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2009-12-13 12:58 . 2009-12-13 12:58	--------	d-----w-	c:\users\***\AppData\Roaming\DAEMON Tools Lite
2009-12-13 12:58 . 2009-12-13 12:59	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2009-12-08 21:19 . 2009-11-09 12:31	24064	----a-w-	c:\windows\system32\nshhttp.dll
2009-12-08 21:19 . 2009-11-09 12:30	30720	----a-w-	c:\windows\system32\httpapi.dll
2009-12-08 21:19 . 2009-11-09 10:36	411648	----a-w-	c:\windows\system32\drivers\http.sys
2009-12-08 20:43 . 2009-08-24 11:36	377344	----a-w-	c:\windows\system32\winhttp.dll
2009-12-08 20:43 . 2009-10-27 14:11	834048	----a-w-	c:\windows\system32\wininet.dll
2009-12-08 20:43 . 2009-10-27 13:16	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-12-08 20:42 . 2009-10-07 11:36	243712	----a-w-	c:\windows\system32\rastls.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 20:32 . 2006-11-02 15:33	618204	----a-w-	c:\windows\system32\perfh007.dat
2009-12-30 20:32 . 2006-11-02 15:33	122442	----a-w-	c:\windows\system32\perfc007.dat
2009-12-30 20:24 . 2008-02-07 15:40	--------	d-----w-	c:\programdata\NVIDIA
2009-12-29 22:52 . 2008-09-07 13:33	--------	d-----w-	c:\programdata\Google Updater
2009-12-28 00:23 . 2008-08-02 15:57	--------	d-----w-	c:\users\***\AppData\Roaming\DAEMON Tools
2009-12-28 00:23 . 2008-07-01 19:08	--------	d-----w-	c:\users\***\AppData\Roaming\uTorrent
2009-12-28 00:02 . 2008-06-09 18:07	89536	----a-w-	c:\users\***\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-27 21:40 . 2008-10-14 20:34	--------	d-----w-	c:\program files\EA Sports
2009-12-20 11:40 . 2008-06-15 16:30	--------	d-----w-	c:\users\***\AppData\Roaming\Skype
2009-12-20 11:06 . 2008-06-18 21:13	--------	d-----w-	c:\users\***\AppData\Roaming\skypePM
2009-12-16 20:51 . 2009-12-16 20:41	206	----a-w-	c:\users\***\AppData\Roaming\wklnhst.dat
2009-12-13 12:59 . 2008-08-02 16:00	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-12-09 15:34 . 2009-03-22 13:23	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-08 21:25 . 2008-02-07 15:16	--------	d-----w-	c:\program files\Google
2009-11-21 11:23 . 2009-10-19 13:40	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2009-11-17 13:43 . 2008-06-15 08:13	--------	d-----w-	c:\program files\Java
2009-11-16 02:13 . 2009-11-16 02:13	216576	----a-w-	c:\windows\system32\drivers\Rtlh86.sys
2009-11-12 06:24 . 2009-11-12 06:24	94208	----a-w-	c:\windows\system32\RTNUninst32.dll
2009-11-02 19:42 . 2009-10-03 12:55	195456	------w-	c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-25 16:50	2048	----a-w-	c:\windows\system32\tzres.dll
2009-10-11 03:17 . 2009-01-05 18:48	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-25 16:41 . 2009-09-25 16:41	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2008-09-03 16:19	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 10:47 . 2008-09-03 16:19	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 12:30 . 2008-09-03 16:19	216064	--sh--r-	c:\windows\System32\nbDX.dll
2007-11-02 23:53 . 2007-11-02 23:15	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-12-17 4718592]
"recinfo313"="c:\recinfo\RecInfo.exe" [2007-10-23 2764800]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2005-09-25 155648]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-12-03 1394000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-10-25 14:33	563984	----a-w-	c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-10-25 14:37	2178832	----a-w-	c:\programme\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):8c,a6,92,73,30,02,ca,01

R2 acedrv11;acedrv11;c:\windows\System32\drivers\acedrv11.sys [30.07.2008 06:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [22.03.2009 14:23 108289]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\windows\System32\nvSCPAPISvr.exe [10.06.2009 05:33 232960]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [02.08.2008 16:57 721904]
S2 gupdate1c9e91e664eb6e4;Google Update Service (gupdate1c9e91e664eb6e4);c:\program files\Google\Update\GoogleUpdate.exe [09.06.2009 17:21 133104]
.
Inhalt des "geplante Tasks" Ordners

2009-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-09 16:21]

2009-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-09 16:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\xsckpqnj.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Picasa2\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-12-30 21:34
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-12-30  21:35:46
ComboFix-quarantined-files.txt  2009-12-30 20:35

Vor Suchlauf: 25 Verzeichnis(se), 213.904.990.208 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 213.837.783.040 Bytes frei

- - End Of File - - 9189584C9E0E96556B2BC1B68BB8E582

cosinus · 31.12.2009, 09:51

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (die *** mit dem richtigen Benutzernamen wieder ersetzen!!)

Code:

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=-

File::
c:\users\***\AppData\Roaming\wklnhst.dat

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

vierauge · 31.12.2009, 13:02

Vielen Dank für die schnelle Hilfe, das Log gibts hier:

Code:

ATTFilter

ComboFix 09-12-30.01 - *** 31.12.2009  12:25:03.2.4 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3071.2139 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\users\***\Desktop\CFScript.txt
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-31  ))))))))))))))))))))))))))))))
.

2009-12-31 11:30 . 2009-12-31 11:30	--------	d-----w-	c:\users\***\AppData\Local\temp
2009-12-31 11:30 . 2009-12-31 11:30	--------	d-----w-	c:\users\Public\AppData\Local\temp
2009-12-31 11:30 . 2009-12-31 11:30	--------	d-----w-	c:\users\Default\AppData\Local\temp
2009-12-30 20:23 . 2009-12-30 20:35	--------	d-----w-	C:\cofi.exe
2009-12-30 19:26 . 2009-12-30 19:28	--------	d-----w-	C:\Lop SD
2009-12-29 21:26 . 2009-12-29 21:26	--------	d-----w-	c:\program files\trend micro
2009-12-29 21:26 . 2009-12-29 21:26	--------	d-----w-	C:\rsit
2009-12-27 22:22 . 2009-12-27 22:22	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2009-12-27 22:22 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 22:22 . 2009-12-27 22:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-12-27 22:22 . 2009-12-27 22:22	--------	d-----w-	c:\programdata\Malwarebytes
2009-12-27 22:22 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-27 22:02 . 2009-12-27 22:02	--------	d-----w-	c:\program files\CCleaner
2009-12-25 10:47 . 2009-12-25 16:56	--------	d-----w-	c:\users\***\Filme
2009-12-21 18:44 . 2009-12-21 18:44	--------	d-----w-	c:\program files\eRightSoft
2009-12-19 11:28 . 2009-09-10 14:58	310784	----a-w-	c:\windows\system32\unregmp2.exe
2009-12-19 11:28 . 2009-09-10 14:59	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-12-19 11:28 . 2009-08-29 00:27	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2009-12-19 11:28 . 2009-08-29 00:14	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2009-12-13 12:58 . 2009-12-13 12:58	--------	d-----w-	c:\users\***\AppData\Roaming\DAEMON Tools Lite
2009-12-13 12:58 . 2009-12-13 12:59	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2009-12-08 21:19 . 2009-11-09 12:31	24064	----a-w-	c:\windows\system32\nshhttp.dll
2009-12-08 21:19 . 2009-11-09 12:30	30720	----a-w-	c:\windows\system32\httpapi.dll
2009-12-08 21:19 . 2009-11-09 10:36	411648	----a-w-	c:\windows\system32\drivers\http.sys
2009-12-08 20:43 . 2009-08-24 11:36	377344	----a-w-	c:\windows\system32\winhttp.dll
2009-12-08 20:43 . 2009-10-27 14:11	834048	----a-w-	c:\windows\system32\wininet.dll
2009-12-08 20:43 . 2009-10-27 13:16	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-12-08 20:42 . 2009-10-07 11:36	243712	----a-w-	c:\windows\system32\rastls.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-31 11:28 . 2006-11-02 15:33	618204	----a-w-	c:\windows\system32\perfh007.dat
2009-12-31 11:28 . 2006-11-02 15:33	122442	----a-w-	c:\windows\system32\perfc007.dat
2009-12-31 11:21 . 2008-02-07 15:40	--------	d-----w-	c:\programdata\NVIDIA
2009-12-29 22:52 . 2008-09-07 13:33	--------	d-----w-	c:\programdata\Google Updater
2009-12-28 00:23 . 2008-08-02 15:57	--------	d-----w-	c:\users\***\AppData\Roaming\DAEMON Tools
2009-12-28 00:23 . 2008-07-01 19:08	--------	d-----w-	c:\users\***\AppData\Roaming\uTorrent
2009-12-28 00:02 . 2008-06-09 18:07	89536	----a-w-	c:\users\***\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-27 21:40 . 2008-10-14 20:34	--------	d-----w-	c:\program files\EA Sports
2009-12-20 11:40 . 2008-06-15 16:30	--------	d-----w-	c:\users\***\AppData\Roaming\Skype
2009-12-20 11:06 . 2008-06-18 21:13	--------	d-----w-	c:\users\***\AppData\Roaming\skypePM
2009-12-16 20:51 . 2009-12-16 20:41	206	----a-w-	c:\users\***\AppData\Roaming\wklnhst.dat
2009-12-13 12:59 . 2008-08-02 16:00	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-12-09 15:34 . 2009-03-22 13:23	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-08 21:25 . 2008-02-07 15:16	--------	d-----w-	c:\program files\Google
2009-11-21 11:23 . 2009-10-19 13:40	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2009-11-17 13:43 . 2008-06-15 08:13	--------	d-----w-	c:\program files\Java
2009-11-16 02:13 . 2009-11-16 02:13	216576	----a-w-	c:\windows\system32\drivers\Rtlh86.sys
2009-11-12 06:24 . 2009-11-12 06:24	94208	----a-w-	c:\windows\system32\RTNUninst32.dll
2009-11-02 19:42 . 2009-10-03 12:55	195456	------w-	c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-25 16:50	2048	----a-w-	c:\windows\system32\tzres.dll
2009-10-11 03:17 . 2009-01-05 18:48	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-25 16:41 . 2009-09-25 16:41	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2008-09-03 16:19	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 10:47 . 2008-09-03 16:19	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 12:30 . 2008-09-03 16:19	216064	--sh--r-	c:\windows\System32\nbDX.dll
2007-11-02 23:53 . 2007-11-02 23:15	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-12-17 4718592]
"recinfo313"="c:\recinfo\RecInfo.exe" [2007-10-23 2764800]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2005-09-25 155648]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-12-03 1394000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-10-25 14:33	563984	----a-w-	c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-10-25 14:37	2178832	----a-w-	c:\programme\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):8c,a6,92,73,30,02,ca,01

R2 acedrv11;acedrv11;c:\windows\System32\drivers\acedrv11.sys [30.07.2008 06:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [22.03.2009 14:23 108289]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\windows\System32\nvSCPAPISvr.exe [10.06.2009 05:33 232960]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [02.08.2008 16:57 721904]
S2 gupdate1c9e91e664eb6e4;Google Update Service (gupdate1c9e91e664eb6e4);c:\program files\Google\Update\GoogleUpdate.exe [09.06.2009 17:21 133104]
.
Inhalt des "geplante Tasks" Ordners

2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-09 16:21]

2009-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-09 16:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\xsckpqnj.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Picasa2\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2009-12-31 12:30
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-12-31  12:32:12
ComboFix-quarantined-files.txt  2009-12-31 11:32
ComboFix2.txt  2009-12-30 20:35

Vor Suchlauf: 28 Verzeichnis(se), 213.886.476.288 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 213.856.448.512 Bytes frei

- - End Of File - - 6AF2304D1F3339EE704DD2E10E9CACEF

vierauge · 01.01.2010, 22:15

Hi,

habe außerdem MBAW im abgesicherten Modus (hoffe, das war nicht verkehrt?!) gestartet (vorher CCleaner, der diesmal auch den im 1. Posting genannten Reg.-Schlüssel löschen konnte), folgendes ist dabei herausgekommen:

mbaw-log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3469
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

01.01.2010 20:24:09
mbam-log-2010-01-01 (20-24-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 276951
Laufzeit: 42 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Antivir läuft gerade noch mit "scharfer" Konfiguration, dabei ist mir beim Durchsehen der Meldungen aufgefallen, dass Antivir vor Kurzem TR/Drop.VB gefunden hat. Weist im geposteten hjt-Log irgendetwas auf dessen Existenz hin?
Sorry, dass ich damit erst jetzt komme, aber die momentane Situation in Verbindung mit deiner/eurer Arbeit haben mir etwas die Augen geöffnet und meine Sinne geschärft.

cosinus · 02.01.2010, 11:16

Die Logs gehen nun i.O.

Zitat:

dabei ist mir beim Durchsehen der Meldungen aufgefallen, dass Antivir vor Kurzem TR/Drop.VB gefunden hat.

Liegt wahrscheinlich an der scharfen Konfig - wenn musst Du auch komplette Pfade mitposten, sonst kann man nichts sagen.

vierauge · 03.01.2010, 17:55

Code:

ATTFilter

In der Datei 'X:\Downloads\Fifa 10 Crack & Keygen-Razor1911\rzr-fa10.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.VB.mwg' [trojan] gefunden.
Ausgeführte Aktion(en): Die Datei wurde ignoriert.

Das ist die Meldung von Antivir vom 27.12.

cosinus · 03.01.2010, 17:57

Zitat:

X:\Downloads\Fifa 10 Crack & Keygen-Razor1911\rzr-fa10.exe

Och nö, das kann doch nicht Dein Ernst sein!!

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

vierauge · 03.01.2010, 18:00

Das ist mir schon klar, ich hab das gebraucht, um nicht ständig die DVD im Laufwerk zu haben. Aber das kann man natürlich schlecht prüfen.
Hm, dann muss ich wohl den harten Weg gehen.

30.12.2009, 21:14	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Problem nach Renos.jm(?)-Befall Ja, bitte anwenden! __________________ Logfiles bitte immer in CODE-Tags posten

Problem nach Renos.jm(?)-Befall

Log-Analyse und Auswertung: Problem nach Renos.jm(?)-Befall