Trojaner und Viren gefunden

falkea · 20.01.2010, 17:27

Hallo Leute,

gestern Abend gab es einen recht großen Angriff auf meinen Laptop. Der AntiVir Guard meldete 12 mal hintereinander den Fund von Trojanern in den Temporären Daten. Zudem öffnete sich der IE von allein und unter Firefox wurde ich bei Google-Suchergebnissen auf andere Seiten umgeleitet.

Habe dann alle Programme, die ich habe, durchlaufen lassen. Spybot S&D, AdAware und AntiVir. Überall gabs Funde, die auch beseitigt werden konnten.

Heute hab ich im gesicherten XP-Modus eScan genutzt, auch hier wurde nichts mehr gefunden. Dennoch würde ich gern nach so vielen Funden auf Nr. sicher gehen und poste daher hier die Logfile von HijackThis. Wäre nett, wenn ihr das beurteilen könntet, bzw. mir sagen könnt was ich sonst noch tun sollte, um wirklich sicher sein zu können, dass mein Laptop sauber ist.
Die Probleme mit den Browsern treten derzeit nicht mehr auf.

Besten Dank schonmal

Falkea

Logfile HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:04, on 20.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\igfxext.exe
C:\DOKUME~1\Falke\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
d:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\DOKUME~1\Falke\LOKALE~1\Temp\mexe.com
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /normal-run1
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQLite1\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: PDFill PDF Editor - {FB858B22-55E2-413f-87F5-30ADC5552151} - D:\Programme\PlotSoft\PDFill\DownloadPDF.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMSAccessU - Unknown owner - d:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9624 bytes

cosinus · 20.01.2010, 19:38

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

falkea · 20.01.2010, 21:08

Okay, danke.

Hier die Logfile von MalwareBytes:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3604
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.01.2010 20:52:17
mbam-log-2010-01-20 (20-52-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 211435
Laufzeit: 36 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D} (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Trojan.Swisyn) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Trojan.Swisyn) -> Quarantined and deleted successfully.

Die Logfiles habe sind unter folgendem Link abrufbar:

File-Upload.net - logfiles.zip

Wäre toll, wenn du mir helfen kannst! Besten Dank!

cosinus · 20.01.2010, 21:33

Bitte nun CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

falkea · 20.01.2010, 22:07

So, hier die Ergebnisse von ComboFix:

ComboFix 10-01-19.08 - Falke 20.01.2010 22:00:28.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.421 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Falke\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\ic32.dll
c:\windows\system32\taskmgr.com
c:\windows\system32\wk32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-20 bis 2010-01-20 ))))))))))))))))))))))))))))))
.

2010-01-20 20:01 . 2010-01-20 20:02 -------- d-----w- C:\rsit
2010-01-20 19:11 . 2010-01-20 19:11 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Malwarebytes
2010-01-20 19:11 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-20 19:11 . 2010-01-20 19:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-20 19:11 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-20 18:18 . 2010-01-20 18:18 52224 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-20 18:18 . 2010-01-20 18:18 117760 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-20 18:17 . 2010-01-20 18:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-20 18:17 . 2010-01-20 18:17 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-20 18:17 . 2010-01-20 18:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-20 16:37 . 2010-01-20 16:37 3803208 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\AutoLaunch.exe
2010-01-20 12:39 . 2010-01-20 12:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-20 12:20 . 2010-01-20 12:20 -------- d---a-w- c:\windows\VDLL.DLL
2010-01-20 12:20 . 2010-01-20 12:20 -------- d---a-w- c:\windows\system32\runouce.exe
2010-01-20 12:20 . 2010-01-20 12:20 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-01-20 12:20 . 2010-01-20 12:20 -------- d---a-w- c:\windows\logo_1.exe
2010-01-20 12:17 . 2010-01-20 12:17 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-01-20 12:17 . 2010-01-20 12:17 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-01-20 12:17 . 2010-01-20 12:17 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-01-20 12:17 . 2008-04-14 02:23 140800 ----a-w- c:\windows\system32\T.COM
2010-01-20 12:17 . 2008-04-14 02:22 153600 ----a-w- c:\windows\R.COM
2010-01-20 12:17 . 2010-01-20 12:46 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2010-01-20 12:17 . 2010-01-20 12:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-01-20 06:37 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-20 06:37 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-20 06:37 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-20 06:37 . 2010-01-20 06:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-19 22:37 . 2009-12-02 13:19 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-01-19 22:37 . 2010-01-19 22:37 862040 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\threatwork.exe
2010-01-19 22:37 . 2010-01-19 22:37 206944 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\lavamessage.dll
2010-01-19 22:37 . 2010-01-19 22:37 390288 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\lavalicense.dll
2010-01-19 22:37 . 2010-01-19 22:37 537576 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\aawapi.dll
2010-01-19 22:37 . 2010-01-20 16:37 372280 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\UpdateManager.dll
2010-01-19 22:37 . 2010-01-19 22:37 194104 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Savapibridge.dll
2010-01-19 22:36 . 2010-01-19 22:37 6296864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Resources.dll
2010-01-19 22:36 . 2010-01-19 22:36 933120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\CEAPI.dll
2010-01-19 22:36 . 2010-01-19 22:36 816272 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Ad-AwareCommand.exe
2010-01-19 22:36 . 2010-01-20 16:37 823928 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Ad-AwareAdmin.exe
2010-01-19 22:36 . 2010-01-19 22:36 1643272 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Ad-Aware.exe
2010-01-19 22:36 . 2010-01-19 22:36 788880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\AAWTray.exe
2010-01-19 22:36 . 2010-01-19 22:36 1181328 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\AAWService.exe
2010-01-19 22:36 . 2009-12-07 14:10 2953352 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2010-01-19 22:07 . 2010-01-19 22:07 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-19 20:35 . 2010-01-19 22:36 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-19 20:34 . 2010-01-19 20:34 -------- d-----w- c:\programme\Lavasoft
2010-01-19 20:27 . 2010-01-19 22:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-01-13 19:57 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2009-12-28 22:12 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlotSoft
2009-12-28 19:44 . 2009-12-28 19:44 24448 ----a-w- c:\windows\system32\drivers\fnetthjm.sys
2009-12-23 15:39 . 2009-12-23 15:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-20 19:56 . 2008-07-20 18:44 12 ----a-w- c:\windows\bthservsdp.dat
2010-01-20 11:54 . 2008-05-29 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-20 10:20 . 2008-11-25 18:54 -------- d-----w- c:\programme\Microsoft Silverlight
2010-01-19 14:22 . 2009-12-18 16:09 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\FileZilla
2010-01-18 08:47 . 2009-12-10 20:55 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Skype
2010-01-18 08:45 . 2009-11-21 11:36 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\skypePM
2010-01-11 11:57 . 2008-08-17 10:06 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Canon
2010-01-08 08:50 . 2009-12-10 20:55 -------- d-----r- c:\programme\Skype
2009-12-30 00:08 . 2008-05-28 08:30 -------- d-----w- c:\programme\Avira
2009-12-23 15:39 . 2008-05-29 12:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-12-10 13:44 . 2007-08-10 11:33 85594 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 13:44 . 2007-08-10 11:33 460908 ----a-w- c:\windows\system32\perfh007.dat
2009-12-06 14:06 . 2010-01-19 22:02 185170 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2009-12-04 11:12 . 2009-12-04 11:12 -------- d-----w- c:\programme\Kyocera
2009-12-03 11:46 . 2009-12-03 11:46 -------- d-----w- c:\programme\Juniper Networks
2009-12-03 11:46 . 2009-12-03 11:46 161632 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks\Setup Client\x86_Microsoft.VC80.CRTP_8.0.50727.762.exe
2009-12-03 11:46 . 2009-12-03 11:46 291696 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks\Setup Client\x86_Microsoft.VC80.CRTR_8.0.50727.762.exe
2009-12-03 11:45 . 2009-12-03 11:45 36948 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks\setup\uninstall.exe
2009-12-03 11:45 . 2009-12-03 11:45 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks
2009-12-03 11:45 . 2009-12-03 11:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Juniper Networks
2009-11-21 15:54 . 2004-08-04 03:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-21 11:36 . 2009-11-21 11:36 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-10-29 05:24 . 2007-04-18 12:31 672768 ----a-w- c:\windows\system32\wininet.dll
2006-05-03 09:06 . 2009-12-06 10:43 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-06 10:43 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-06 10:43 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-01-05 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2007-04-21 20480]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-09-07 1015808]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2007-02-20 61440]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2007-03-02 208896]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 475136]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-05-28 342528]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 421888]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16132608]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-5-27 45056]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
VPN Client.lnk - c:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2009-11-12 6144]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- d:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [19.01.2010 23:37 64288]
R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [05.01.2010 07:56 9968]
R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.01.2010 07:56 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.01.2010 07:37 108289]
R3 SASENUM;SASENUM;d:\programme\SUPERAntiSpyware\SASENUM.SYS [05.01.2010 07:56 7408]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 FNETTHJM;Freecom Turbo USB 2.0;c:\windows\system32\drivers\fnetthjm.sys [28.12.2009 20:44 24448]
.
Inhalt des "geplante Tasks" Ordners

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-29 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.intl.acer.yahoo.com/
mStart Page = hxxp://de.intl.acer.yahoo.com
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*Yahoo! Deutschland
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
FF - ProfilePath - c:\dokumente und einstellungen\Falke\Anwendungsdaten\Mozilla\Firefox\Profiles\o77v5bkg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove- FS-1300D Printer Library - c:\programme\Kyocera\FS-1100

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-20 22:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1000)
d:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2010-01-20 22:05:53
ComboFix-quarantined-files.txt 2010-01-20 21:05

Vor Suchlauf: 18 Verzeichnis(se), 64.177.209.344 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 64.712.863.744 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 0CC81454483D5129DBBA2E9E7C08D7BF

cosinus · 20.01.2010, 22:14

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

KILLALL::

File::
c:\windows\system32\eEmpty.exe
c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat

FileLook::
c:\windows\system32\drivers\fnetthjm.sys

Folder::
c:\windows\VDLL.DLL
c:\windows\system32\runouce.exe
c:\windows\RUNDL132.EXE
c:\windows\logo_1.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

falkea · 20.01.2010, 22:34

Hi Arne,

echt meinen besten Dank für deine Hilfe. Kommen wir der Sache denn näher? Ich versteh ja gar nicht was ich hier mache ;-)

Hier die neue logfile von Combofix:

ComboFix 10-01-19.08 - Falke 20.01.2010 22:19:57.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.493 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Falke\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Falke\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat"
"c:\windows\system32\eEmpty.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\logo_1.exe
c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
c:\windows\RUNDL132.EXE
c:\windows\system32\eEmpty.exe
c:\windows\system32\runouce.exe
c:\windows\VDLL.DLL

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-20 bis 2010-01-20 ))))))))))))))))))))))))))))))
.

2010-01-20 20:57 . 2010-01-20 21:05 -------- d-----w- C:\cofi
2010-01-20 20:01 . 2010-01-20 20:02 -------- d-----w- C:\rsit
2010-01-20 19:11 . 2010-01-20 19:11 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Malwarebytes
2010-01-20 19:11 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-20 19:11 . 2010-01-20 19:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-20 19:11 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-20 18:18 . 2010-01-20 18:18 52224 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-20 18:18 . 2010-01-20 18:18 117760 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-20 18:17 . 2010-01-20 18:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-20 18:17 . 2010-01-20 18:17 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-20 18:17 . 2010-01-20 18:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-20 16:37 . 2010-01-20 16:37 3803208 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\AutoLaunch.exe
2010-01-20 12:39 . 2010-01-20 12:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-20 12:17 . 2010-01-20 12:17 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-01-20 12:17 . 2010-01-20 12:17 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-01-20 12:17 . 2008-04-14 02:23 140800 ----a-w- c:\windows\system32\T.COM
2010-01-20 12:17 . 2008-04-14 02:22 153600 ----a-w- c:\windows\R.COM
2010-01-20 12:17 . 2010-01-20 12:46 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2010-01-20 12:17 . 2010-01-20 12:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-01-20 06:37 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-20 06:37 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-20 06:37 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-20 06:37 . 2010-01-20 06:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-19 22:37 . 2009-12-02 13:19 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-01-19 22:37 . 2010-01-19 22:37 862040 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\threatwork.exe
2010-01-19 22:37 . 2010-01-19 22:37 206944 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\lavamessage.dll
2010-01-19 22:37 . 2010-01-19 22:37 390288 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\lavalicense.dll
2010-01-19 22:37 . 2010-01-19 22:37 537576 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\aawapi.dll
2010-01-19 22:37 . 2010-01-20 16:37 372280 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\UpdateManager.dll
2010-01-19 22:37 . 2010-01-19 22:37 194104 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Savapibridge.dll
2010-01-19 22:36 . 2010-01-19 22:37 6296864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Resources.dll
2010-01-19 22:36 . 2010-01-19 22:36 933120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\CEAPI.dll
2010-01-19 22:36 . 2010-01-19 22:36 816272 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Ad-AwareCommand.exe
2010-01-19 22:36 . 2010-01-20 16:37 823928 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Ad-AwareAdmin.exe
2010-01-19 22:36 . 2010-01-19 22:36 1643272 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\Ad-Aware.exe
2010-01-19 22:36 . 2010-01-19 22:36 788880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\AAWTray.exe
2010-01-19 22:36 . 2010-01-19 22:36 1181328 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\update\AAWService.exe
2010-01-19 22:36 . 2009-12-07 14:10 2953352 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2010-01-19 22:07 . 2010-01-19 22:07 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-19 20:35 . 2010-01-19 22:36 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-19 20:34 . 2010-01-19 20:34 -------- d-----w- c:\programme\Lavasoft
2010-01-19 20:27 . 2010-01-19 22:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-01-13 19:57 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2009-12-28 22:12 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlotSoft
2009-12-28 19:44 . 2009-12-28 19:44 24448 ----a-w- c:\windows\system32\drivers\fnetthjm.sys
2009-12-23 15:39 . 2009-12-23 15:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-20 21:23 . 2008-07-20 18:44 12 ----a-w- c:\windows\bthservsdp.dat
2010-01-20 11:54 . 2008-05-29 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-20 10:20 . 2008-11-25 18:54 -------- d-----w- c:\programme\Microsoft Silverlight
2010-01-19 14:22 . 2009-12-18 16:09 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\FileZilla
2010-01-18 08:47 . 2009-12-10 20:55 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Skype
2010-01-18 08:45 . 2009-11-21 11:36 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\skypePM
2010-01-11 11:57 . 2008-08-17 10:06 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Canon
2010-01-08 08:50 . 2009-12-10 20:55 -------- d-----r- c:\programme\Skype
2009-12-30 00:08 . 2008-05-28 08:30 -------- d-----w- c:\programme\Avira
2009-12-23 15:39 . 2008-05-29 12:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-12-10 13:44 . 2007-08-10 11:33 85594 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 13:44 . 2007-08-10 11:33 460908 ----a-w- c:\windows\system32\perfh007.dat
2009-12-04 11:12 . 2009-12-04 11:12 -------- d-----w- c:\programme\Kyocera
2009-12-03 11:46 . 2009-12-03 11:46 -------- d-----w- c:\programme\Juniper Networks
2009-12-03 11:46 . 2009-12-03 11:46 161632 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks\Setup Client\x86_Microsoft.VC80.CRTP_8.0.50727.762.exe
2009-12-03 11:46 . 2009-12-03 11:46 291696 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks\Setup Client\x86_Microsoft.VC80.CRTR_8.0.50727.762.exe
2009-12-03 11:45 . 2009-12-03 11:45 36948 ----a-w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks\setup\uninstall.exe
2009-12-03 11:45 . 2009-12-03 11:45 -------- d-----w- c:\dokumente und einstellungen\Falke\Anwendungsdaten\Juniper Networks
2009-12-03 11:45 . 2009-12-03 11:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Juniper Networks
2009-11-21 15:54 . 2004-08-04 03:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-21 11:36 . 2009-11-21 11:36 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-10-29 05:24 . 2007-04-18 12:31 672768 ------w- c:\windows\system32\wininet.dll
2006-05-03 09:06 . 2009-12-06 10:43 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-06 10:43 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-06 10:43 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\drivers\fnetthjm.sys ---
Company: FNet Co., Ltd.
File Description: FNetTHJM.sys
File Version: 1.19.000
Product Name: FNet Turbo HDD USB Driver
Copyright: Copyright (C) 2008 FNet
Original Filename: FNetTHJM.sys
File size: 24448
Created time: 2009-12-28 19:44
Modified time: 2009-12-28 19:44
MD5: 9339335CFAF1EBD80734098FF938B32A
SHA1: 4EB0E3EBA6879FB5C12E538E407F72C7CCF9B1FF

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-01-05 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2007-04-21 20480]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-09-07 1015808]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2007-02-20 61440]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2007-03-02 208896]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 475136]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-05-28 342528]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 421888]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16132608]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-5-27 45056]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
VPN Client.lnk - c:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2009-11-12 6144]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- d:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [19.01.2010 23:37 64288]
R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [05.01.2010 07:56 9968]
R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.01.2010 07:56 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.01.2010 07:37 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
R3 SASENUM;SASENUM;d:\programme\SUPERAntiSpyware\SASENUM.SYS [05.01.2010 07:56 7408]
S3 FNETTHJM;Freecom Turbo USB 2.0;c:\windows\system32\drivers\fnetthjm.sys [28.12.2009 20:44 24448]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - UBHELPER
.
Inhalt des "geplante Tasks" Ordners

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 16:37]

2010-01-20 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-29 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.intl.acer.yahoo.com/
mStart Page = hxxp://de.intl.acer.yahoo.com
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*Yahoo! Deutschland
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
FF - ProfilePath - c:\dokumente und einstellungen\Falke\Anwendungsdaten\Mozilla\Firefox\Profiles\o77v5bkg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-20 22:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1000)
d:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2876)
c:\windows\system32\MSNCHATHOOK.DLL
c:\windows\system32\sysenv.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\MFC71U.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\acer\Empowering Technology\ePower\SysHook.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
d:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
d:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\igfxext.exe
c:\dokume~1\Falke\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-20 22:31:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-20 21:31
ComboFix2.txt 2010-01-20 21:05

Vor Suchlauf: 22 Verzeichnis(se), 64.740.614.144 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 64.694.652.928 Bytes frei

- - End Of File - - E7F6B3918EF464A3BD5BEB18C294A2E5

cosinus · 20.01.2010, 23:07

Mach bitte nun noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

falkea · 20.01.2010, 23:55

Hi Arne (mal wieder)
im Kontrollscan gabs noch 2 Funde. Kannst irgendwie einschätzen, wie sehr mein System belastet ist?

Hier die Logfile:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3605
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.01.2010 23:47:49
mbam-log-2010-01-20 (23-47-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 209040
Laufzeit: 35 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{D26AA30C-17AC-45F5-8204-C1751B8DA948}\RP1\A0000041.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D26AA30C-17AC-45F5-8204-C1751B8DA948}\RP1\A0000219.sys (Malware.Trace) -> Quarantined and deleted successfully.

cosinus · 20.01.2010, 23:59

DIe sind nur noch in der SWH

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

falkea · 21.01.2010, 00:07

Okay, habe die Systemwiederherstellung deaktiviert.

Sollte damit jetzt alles bereinigt und behoben sein? Wäre ja stark. Schonmal mein allerherzlichstes Dankeschön.
Kann man eigentlich auch per Banküberweisung spenden? Ich bin kein PayPal-Mitglied gebe besonders nach Tagen wie heute nur ungern Bankdaten von mir im Netz an.

cosinus · 21.01.2010, 08:07

Wie haben hier leider nur ein Paypal Spendenkonto

falkea · 21.01.2010, 09:15

Okay, dann muss ich das vllt. doch nutzen. Irgendwie muss ich mich ja erkenntlich zeigen. Dachte schon, ich müsste mein Laptop plattmachen und neu aufsetzen.

Seh ich doch hoffentlich richtig, oder? Also, dass das Problem jetzt beseitigt ist?

Beste Grüße

Falke

cosinus · 21.01.2010, 09:25

Also von meiner Seite ist nicht mehr einzuwenden...

20.01.2010, 23:07	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner und Viren gefunden Mach bitte nun noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. __________________ Logfiles bitte immer in CODE-Tags posten

21.01.2010, 08:07	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner und Viren gefunden Wie haben hier leider nur ein Paypal Spendenkonto __________________ Logfiles bitte immer in CODE-Tags posten

21.01.2010, 09:25	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner und Viren gefunden Also von meiner Seite ist nicht mehr einzuwenden... __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner und Viren gefunden

Log-Analyse und Auswertung: Trojaner und Viren gefunden