Hallo zusammen! Ich bin blutiger Anfänger was das Thema Viren/Trojaner betrifft. Hoffe aber, dass ich alles soweit richtig gemacht habe.

Antivir meldet mir folgendes:
Virus or unwanted program 'TR/Swisyn.acfo [trojan]'
detected in file 'C:\System Volume Information\_restore{FAB954CF-808C-47BA-AD22-7915C96987FF}\RP1107\A0106885.exe.
Action performed: Deny access

und:

Virus or unwanted program 'TR/Swisyn.acfo [trojan]'
detected in file 'C:\WINDOWS\system\svchost.exe.
Action performed: Deny access

Folgender Hijack Logfile wurde ausgelesen:

Logfile of Trend Micro H***T*** v2.0.2
Scan saved at 09:46:04, on 22.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\WINDOWS\Twain_32\Samsung\CLX3170\Scan2pc.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLI3EFCX\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: OLE (Teil 1 von 5) - - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [3170 Scan2PC] "C:\WINDOWS\Twain_32\Samsung\CLX3170\Scan2pc.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BackUp Maker.lnk = C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
O8 - Extra context menu item: SmarThru4 Als HTML speichern - C:\Programme\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Auswahl erfassen - C:\Programme\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Programme\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Markierten Text speichern - C:\Programme\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Programme\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Programme\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Programme\SmarThru 4\WebCapture.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Auswahl erfassen - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Auswahl erfassen - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Als HTML speichern - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Als HTML speichern - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Markierten Text speichern - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Markierten Text speichern - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Programme\SmarThru 4\WebCapture.dll (HKCU)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Hardware management services (svchost) - Unknown owner - C:\WINDOWS\system\svchost.exe (file missing)

--
End of file - 9801 bytes


Wie gesagt, hatte mit diesem Thema noch nie etwas zu tun....sollte ich etwas falsch gemacht haben, sorry!

Danke für eure Hilfe

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Danke für die Antwort!

Anbei der Link für die Logfiles als RAR Datei!


hxxp://www.file-upload.net/download-2371095/rsit-mbam-log.rar.html

Ok, bitte nun ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

OK! Ist erledigt. Hier das Ergebnis:

ComboFix 10-03-22.03 - user1 23.03.2010 11:12:28.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.503.281 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\user1\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\AskSearch\bin\DeFAultsearch.dll
c:\programme\autorun.inf
c:\programme\pdfforge Toolbar\SearchSettings.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SVCHOST


((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 ))))))))))))))))))))))))))))))
.

2010-03-22 11:43 . 2010-03-22 11:43 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Malwarebytes
2010-03-22 11:42 . 2010-03-22 11:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-22 07:50 . 2010-03-22 07:51 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-03-22 07:47 . 2010-03-22 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-23 10:18 . 2010-01-29 10:45 -------- d-----w- c:\programme\pdfforge Toolbar
2010-03-23 10:02 . 2006-09-05 11:00 18624 -c--a-w- c:\dokumente und einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-23 06:15 . 2010-03-23 06:14 -------- d-----w- c:\programme\trend micro
2010-03-22 11:42 . 2010-03-22 11:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-22 10:33 . 2010-03-22 10:21 -------- d-----w- c:\programme\Opera
2010-03-22 10:26 . 2010-03-22 10:26 -------- d-----w- c:\programme\CCleaner
2010-03-22 07:56 . 2010-03-22 07:56 329560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\RPAPI.dll
2010-03-22 07:56 . 2010-03-22 07:56 94712 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2010-03-22 07:56 . 2010-03-22 07:56 17480 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\EmailScannerBridge.dll
2010-03-22 07:56 . 2010-03-22 07:56 966104 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\CEAPI.dll
2010-03-22 07:56 . 2010-03-22 07:56 848160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe
2010-03-22 07:56 . 2010-03-22 07:56 855352 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2010-03-22 07:56 . 2010-03-22 07:56 1597440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-Aware.exe
2010-03-22 07:56 . 2010-03-22 07:56 818256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWTray.exe
2010-03-22 07:56 . 2010-03-22 07:56 1263728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWService.exe
2010-03-22 07:51 . 2010-03-22 07:47 -------- d-----w- c:\programme\Lavasoft
2010-03-21 12:52 . 2003-04-02 12:00 93238 ----a-w- c:\windows\system32\perfc007.dat
2010-03-21 12:52 . 2003-04-02 12:00 479142 ----a-w- c:\windows\system32\perfh007.dat
2010-03-21 12:43 . 2010-03-21 12:43 -------- d-----w- c:\programme\MSBuild
2010-03-21 12:42 . 2010-03-21 12:42 -------- d-----w- c:\programme\Reference Assemblies
2010-03-21 12:33 . 2010-03-21 12:33 -------- d-----w- c:\programme\MSXML 6.0
2010-03-19 13:39 . 2010-03-19 13:39 -------- d-----w- c:\programme\Microsoft CAPICOM 2.1.0.2
2010-03-19 11:16 . 2006-04-25 15:34 -------- d-----w- c:\programme\Java
2010-03-19 04:09 . 2009-11-24 04:10 79488 ----a-w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-17 07:02 . 2010-03-17 06:21 -------- d-----w- c:\programme\XPcleanv5
2010-03-17 06:22 . 2010-03-17 06:22 29926 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_42af7c5d.exe
2010-03-17 06:22 . 2010-03-17 06:22 766 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_61d06861.exe
2010-03-17 06:22 . 2010-03-17 06:22 3774 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_6de24e46.exe
2010-03-17 06:22 . 2010-03-17 06:22 3262 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_7b1c1ae2.exe
2010-03-17 06:22 . 2010-03-17 06:22 29926 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_5a2327ea.exe
2010-03-17 06:22 . 2010-03-17 06:22 2238 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_52e16424.exe
2010-03-17 06:22 . 2010-03-17 06:22 2238 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_1a093fdb.exe
2010-03-06 04:56 . 2008-06-29 11:08 -------- d-----w- c:\programme\Google
2010-03-02 08:54 . 2010-03-02 08:52 -------- d-----w- c:\programme\Fake Webcam
2010-02-28 12:20 . 2007-10-11 11:01 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\dvdcss
2010-02-04 15:53 . 2010-03-22 07:50 2954656 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-02-04 15:53 . 2010-03-22 07:58 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-01-30 04:56 . 2010-01-30 04:56 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Search Settings
2010-01-30 04:56 . 2010-01-30 04:56 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\pdfforge
2010-01-29 10:45 . 2010-01-29 10:45 -------- d-----w- c:\programme\Application Updater
2010-01-07 15:07 . 2010-03-22 11:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-03-22 11:42 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-31 16:14 . 2003-04-02 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32 279944 ----a-w- c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2010-01-08 02:17 700416 ----a-w- c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2010-01-08 700416]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-02-27 552960]
"3170 Scan2PC"="c:\windows\Twain_32\Samsung\CLX3170\Scan2pc.exe" [2009-01-30 503808]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2010-01-08 974848]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-05 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
BackUp Maker.lnk - c:\programme\ASCOMP Software\BackUp Maker\bkmaker.exe [2009-12-29 5937120]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Instant Update Reminder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Instant Update Reminder.lnk
backup=c:\windows\pss\Instant Update Reminder.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office Shortcut-Leiste.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office Shortcut-Leiste.lnk
backup=c:\windows\pss\Microsoft Office Shortcut-Leiste.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft-Indexerstellung.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk
backup=c:\windows\pss\Microsoft-Indexerstellung.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk
backup=c:\windows\pss\Office-Start.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57 282624 ----a-w- c:\programme\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\ScanMgr.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\CLX3170\\Scan2Pc.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\CLX3170\\Sscan2io.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [22.03.2010 08:58 64288]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [26.11.2006 08:03 37568]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [26.11.2006 08:03 455680]
.
Inhalt des "geplante Tasks" Ordners

2010-03-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 07:56]

2010-03-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-28 06:40]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-28 06:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: SmarThru4 Als HTML speichern - c:\programme\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Auswahl erfassen - c:\programme\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Capture Selection - c:\programme\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Markierten Text speichern - c:\programme\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\programme\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\programme\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Web Capture - c:\programme\SmarThru 4\WebCapture.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
HKCU-Run-PodSpider - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-03-23 11:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-1708537768-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-725345543-1708537768-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"???n"=hex:f1,3a,80,41,2a,da,cd,23,0d,bd,e6,b9,28,bf,08,71,48,dd,ad,6f,0e,1b,
6a,ec,c5,76,11,6f,b3,1c,eb,3f,72,63,a4,64,5e,63,71,ed,d3,54,31,77,bd,e9,19,\
"?????"=hex:cb,35,c8,4f,e7,c9,97,7c,ce,07,43,88,bb,50,74,0a
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2892)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Lavasoft\Ad-Aware\AAWService.exe
c:\programme\Avira\AntiVir Desktop\sched.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Application Updater\ApplicationUpdater.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
c:\windows\System32\wbem\unsecapp.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-23 11:42:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-23 10:42

Vor Suchlauf: 193.441.792 Bytes frei
Nach Suchlauf: 139.255.808 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - CB4B25AAADDB83358F041302D608523B

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Folder::
c:\programme\XPcleanv5
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}

Registry::
[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[-HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Erledigt:

ComboFix 10-03-22.03 - user1 23.03.2010 12:05:21.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.503.268 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\user1\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\user1\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_1a093fdb.exe
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_42af7c5d.exe
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_52e16424.exe
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_5a2327ea.exe
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_61d06861.exe
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_6de24e46.exe
c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{95F48480-6D51-49A5-BFC3-7D8043AC5386}\_7b1c1ae2.exe
c:\programme\XPcleanv5
c:\programme\XPcleanv5\Addons\crypto.exe
c:\programme\XPcleanv5\Addons\Feuer.bmp
c:\programme\XPcleanv5\Addons\Shutdown.exe
c:\programme\XPcleanv5\Addons\smilie.bmp
c:\programme\XPcleanv5\Addons\stern.bmp
c:\programme\XPcleanv5\Addons\Willie.bmp
c:\programme\XPcleanv5\banner\0.gif
c:\programme\XPcleanv5\banner\1.gif
c:\programme\XPcleanv5\banner\2.gif
c:\programme\XPcleanv5\banner\3.gif
c:\programme\XPcleanv5\banner\4.gif
c:\programme\XPcleanv5\clean.dat
c:\programme\XPcleanv5\Daten\CleanKillBit.reg
c:\programme\XPcleanv5\Daten\cleantrojan.txt
c:\programme\XPcleanv5\Daten\cleanZweig.txt
c:\programme\XPcleanv5\Daten\File.idx
c:\programme\XPcleanv5\Daten\hosts
c:\programme\XPcleanv5\Daten\log.txt
c:\programme\XPcleanv5\Daten\Nullbyte.txt
c:\programme\XPcleanv5\Daten\old.txt
c:\programme\XPcleanv5\Daten\Recent.txt
c:\programme\XPcleanv5\Daten\Schlüssel.idx
c:\programme\XPcleanv5\Daten\Spy.idx
c:\programme\XPcleanv5\Daten\Suche.txt
c:\programme\XPcleanv5\Daten\Tips.ini
c:\programme\XPcleanv5\Daten\Value.idx
c:\programme\XPcleanv5\Deinstallation.exe
c:\programme\XPcleanv5\Help.chm
c:\programme\XPcleanv5\hh.exe
c:\programme\XPcleanv5\Papierkorb.exe
c:\programme\XPcleanv5\Ramdisk\RAMDISK.INF
c:\programme\XPcleanv5\Ramdisk\RAMDISK.SYS
c:\programme\XPcleanv5\Regwarner.exe
c:\programme\XPcleanv5\riched32.dll
c:\programme\XPcleanv5\wbemdisp.tlb
c:\programme\XPcleanv5\XPclean.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 ))))))))))))))))))))))))))))))
.

2010-03-23 06:14 . 2010-03-23 06:15 -------- d-----w- c:\programme\trend micro
2010-03-23 06:14 . 2010-03-23 06:21 -------- d-----w- C:\rsit
2010-03-22 11:43 . 2010-03-22 11:43 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Malwarebytes
2010-03-22 11:42 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-22 11:42 . 2010-03-22 11:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-22 11:42 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-22 11:41 . 2010-03-22 11:42 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-22 10:26 . 2010-03-22 10:26 -------- d-----w- c:\programme\CCleaner
2010-03-22 10:21 . 2010-03-22 10:33 -------- d-----w- c:\programme\Opera
2010-03-22 10:17 . 2010-03-22 07:57 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-03-22 07:58 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-03-22 07:58 . 2010-03-22 07:58 -------- dc----w- c:\windows\system32\DRVSTORE
2010-03-22 07:56 . 2010-03-22 07:56 329560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\RPAPI.dll
2010-03-22 07:56 . 2010-03-22 07:56 94712 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2010-03-22 07:56 . 2010-03-22 07:56 17480 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\EmailScannerBridge.dll
2010-03-22 07:56 . 2010-03-22 07:56 966104 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\CEAPI.dll
2010-03-22 07:56 . 2010-03-22 07:56 848160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe
2010-03-22 07:56 . 2010-03-22 07:56 855352 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2010-03-22 07:56 . 2010-03-22 07:56 1597440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-Aware.exe
2010-03-22 07:56 . 2010-03-22 07:56 818256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWTray.exe
2010-03-22 07:56 . 2010-03-22 07:56 1263728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWService.exe
2010-03-22 07:50 . 2010-02-04 15:53 2954656 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-03-22 07:50 . 2010-03-22 07:51 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-03-22 07:47 . 2010-03-22 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-03-22 07:47 . 2010-03-22 07:51 -------- d-----w- c:\programme\Lavasoft
2010-03-21 12:43 . 2010-03-21 12:43 -------- d-----w- c:\windows\system32\XPSViewer
2010-03-21 12:43 . 2010-03-21 12:43 -------- d-----w- c:\programme\MSBuild
2010-03-21 12:42 . 2010-03-21 12:42 -------- d-----w- c:\programme\Reference Assemblies
2010-03-21 12:42 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-03-21 12:41 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-03-21 12:41 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2010-03-21 12:41 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2010-03-21 12:41 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2010-03-21 12:41 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-03-21 12:41 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-03-21 12:41 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-03-21 12:41 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-03-21 12:41 . 2010-03-21 12:42 -------- d-----w- C:\7a0a20e90e1783ad3e1430
2010-03-21 12:40 . 2010-03-22 03:59 -------- d-----w- c:\windows\SxsCaPendDel
2010-03-21 12:33 . 2010-03-21 12:33 -------- d-----w- c:\programme\MSXML 6.0
2010-03-19 13:39 . 2010-03-19 13:39 -------- d-----w- c:\programme\Microsoft CAPICOM 2.1.0.2
2010-03-19 13:11 . 2009-10-23 14:27 3555328 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-19 12:59 . 2009-07-10 13:39 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2010-03-19 12:47 . 2009-12-31 16:14 352640 -c----w- c:\windows\system32\dllcache\srv.sys
2010-03-19 12:15 . 2008-04-11 18:50 683520 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2010-03-19 11:43 . 2008-04-21 21:25 217600 -c----w- c:\windows\system32\dllcache\wordpad.exe
2010-03-02 08:52 . 2010-03-02 08:54 -------- d-----w- c:\programme\Fake Webcam

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-23 10:18 . 2010-01-29 10:45 -------- d-----w- c:\programme\pdfforge Toolbar
2010-03-23 10:02 . 2006-09-05 11:00 18624 -c--a-w- c:\dokumente und einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-21 12:52 . 2003-04-02 12:00 93238 ----a-w- c:\windows\system32\perfc007.dat
2010-03-21 12:52 . 2003-04-02 12:00 479142 ----a-w- c:\windows\system32\perfh007.dat
2010-03-19 11:16 . 2006-04-25 15:34 -------- d-----w- c:\programme\Java
2010-03-19 04:09 . 2009-11-24 04:10 79488 ----a-w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-06 04:56 . 2008-06-29 11:08 -------- d-----w- c:\programme\Google
2010-02-28 12:20 . 2007-10-11 11:01 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\dvdcss
2010-01-30 04:56 . 2010-01-30 04:56 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Search Settings
2010-01-30 04:56 . 2010-01-30 04:56 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\pdfforge
2010-01-29 10:45 . 2010-01-29 10:45 -------- d-----w- c:\programme\Application Updater
2009-12-31 16:14 . 2003-04-02 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32 279944 ----a-w- c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2010-01-08 02:17 700416 ----a-w- c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2010-01-08 700416]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-02-27 552960]
"3170 Scan2PC"="c:\windows\Twain_32\Samsung\CLX3170\Scan2pc.exe" [2009-01-30 503808]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2010-01-08 974848]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-05 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
BackUp Maker.lnk - c:\programme\ASCOMP Software\BackUp Maker\bkmaker.exe [2009-12-29 5937120]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Instant Update Reminder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Instant Update Reminder.lnk
backup=c:\windows\pss\Instant Update Reminder.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office Shortcut-Leiste.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office Shortcut-Leiste.lnk
backup=c:\windows\pss\Microsoft Office Shortcut-Leiste.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft-Indexerstellung.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk
backup=c:\windows\pss\Microsoft-Indexerstellung.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk
backup=c:\windows\pss\Office-Start.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57 282624 ----a-w- c:\programme\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\ScanMgr.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\CLX3170\\Scan2Pc.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\CLX3170\\Sscan2io.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [22.03.2010 08:58 64288]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [21.12.2009 09:06 108289]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [08.01.2010 00:51 380928]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [26.11.2006 08:03 37568]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.07.2009 07:41 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 16:52 1263728]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [26.11.2006 08:03 455680]
.
Inhalt des "geplante Tasks" Ordners

2010-03-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 07:56]

2010-03-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-28 06:40]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-28 06:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: SmarThru4 Als HTML speichern - c:\programme\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Auswahl erfassen - c:\programme\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Capture Selection - c:\programme\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Markierten Text speichern - c:\programme\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\programme\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\programme\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Web Capture - c:\programme\SmarThru 4\WebCapture.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-03-23 12:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-1708537768-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-725345543-1708537768-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"???n"=hex:f1,3a,80,41,2a,da,cd,23,0d,bd,e6,b9,28,bf,08,71,48,dd,ad,6f,0e,1b,
6a,ec,c5,76,11,6f,b3,1c,eb,3f,72,63,a4,64,5e,63,71,ed,d3,54,31,77,bd,e9,19,\
"?????"=hex:cb,35,c8,4f,e7,c9,97,7c,ce,07,43,88,bb,50,74,0a
.
Zeit der Fertigstellung: 2010-03-23 12:16:54
ComboFix-quarantined-files.txt 2010-03-23 11:16
ComboFix2.txt 2010-03-23 10:42

Vor Suchlauf: 144.261.120 Bytes frei
Nach Suchlauf: 123.252.736 Bytes frei

- - End Of File - - 369CEF0DCA6A36851E1B076BD663B78A

Gut. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Ok! Hier das Ergebnis:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3902
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

23.03.2010 14:04:49
mbam-log-2010-03-23 (14-04-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 175886
Laufzeit: 1 hour(s), 26 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gut. Wenn wieder alles ok ist, Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Erstmal danke für die bisherige Mühe! Ich war eigentlich der Meinung, dass jetzt alles wieder in Ordnung ist. Bis Antivir gerade folgendes meldete:

Virus or unwanted program 'TR/Trash.Gen [trojan]'
detected in file 'C:\System Volume Information\_restore{FAB954CF-808C-47BA-AD22-7915C96987FF}\RP1111\A0107693.exe.
Action performed: Deny access

Also...alles nochmal??

Ist von der SWH.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.