gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll

PyLi · 13.04.2010, 21:37

Hallo Franz,

das Vorgehen mit Avenger verlief ähnlich wie der vorherige Versuch:
erst "Doppelneustart" und dann ein backup-zip ohne die lrtoqf-Datei

Hier das log-file:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\lrtoqf" not found!
Deletion of driver "lrtoqf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\lrtoqf.sys" not found!
Deletion of driver "lrtoqf.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Ich habe daher das backup-zip nicht hochgeladen.
Scheinbar gibt es das File tatsächlich nicht mehr. Gefunden haben wir es damals ja mit gmer. Ich mache daher

1) Full-scan mit upgedatetem Antivir 10 mit den aggressiven Einstellungen nalog zu w*w.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html; sollten versteckte Datein gefunden werden und auf die Rescue-CD verwiesen werden, werde ich den scan trotzdem durchziehen; dann poste ich das log.

2) Full-scan mit upgedatetem Malwarebytes und poste das log.

3) Scan mit GMER und poste das log.

Die Full-scans werden vermutlich einige Zeit brauchen

; ich lass es daher gleich über Nacht laufen.

LG und nochmals

,
Frank

PyLi · 17.04.2010, 12:36

Hallo Franz,

den Full-scan mit aggressiven Einstellungen konnte ich leider so nicht durchführen. Der PC hat ca. 3 Tage gescannt und irgendwie dreht man sich dabei dann im Kreis. Ich hab daher die Standardeinstellungen gewählt.

Antivir-Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 16. April 2010 09:37

Es wird nach 2008243 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.91 2048 Bytes 15.04.2010 07:23:13
VBASE015.VDF : 7.10.6.92 2048 Bytes 15.04.2010 07:23:13
VBASE016.VDF : 7.10.6.93 2048 Bytes 15.04.2010 07:23:13
VBASE017.VDF : 7.10.6.94 2048 Bytes 15.04.2010 07:23:13
VBASE018.VDF : 7.10.6.95 2048 Bytes 15.04.2010 07:23:13
VBASE019.VDF : 7.10.6.96 2048 Bytes 15.04.2010 07:23:13
VBASE020.VDF : 7.10.6.97 2048 Bytes 15.04.2010 07:23:13
VBASE021.VDF : 7.10.6.98 2048 Bytes 15.04.2010 07:23:13
VBASE022.VDF : 7.10.6.99 2048 Bytes 15.04.2010 07:23:13
VBASE023.VDF : 7.10.6.100 2048 Bytes 15.04.2010 07:23:14
VBASE024.VDF : 7.10.6.101 2048 Bytes 15.04.2010 07:23:14
VBASE025.VDF : 7.10.6.102 2048 Bytes 15.04.2010 07:23:14
VBASE026.VDF : 7.10.6.103 2048 Bytes 15.04.2010 07:23:14
VBASE027.VDF : 7.10.6.104 2048 Bytes 15.04.2010 07:23:14
VBASE028.VDF : 7.10.6.105 2048 Bytes 15.04.2010 07:23:14
VBASE029.VDF : 7.10.6.106 2048 Bytes 15.04.2010 07:23:14
VBASE030.VDF : 7.10.6.107 2048 Bytes 15.04.2010 07:23:14
VBASE031.VDF : 7.10.6.110 35840 Bytes 15.04.2010 07:23:14
Engineversion : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 01.04.2010 14:25:36
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 16.04.2010 07:23:32
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.2.1 254323 Bytes 01.04.2010 14:25:36
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.1.0 393587 Bytes 01.04.2010 14:25:36
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.0.3 53618 Bytes 01.04.2010 14:25:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 16. April 2010 09:37

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\repair\backup\servicestate\configdirectory\internet.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\tempkey.log
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\userdiff
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\userdiff.log
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\appevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\secevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\sysevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\windowspowershell.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsdata
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsreg
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
\Driver\atapi
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pando.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '543' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP SOFTWARE>
Beginne mit der Suche in 'D:\' <XP DATEN>
Beginne mit der Suche in 'E:\' <SPIELE>
Beginne mit der Suche in 'F:\' <BACKUP>

Ende des Suchlaufs: Freitag, 16. April 2010 10:28
Benötigte Zeit: 51:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6004 Verzeichnisse wurden überprüft
303980 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
303980 Dateien ohne Befall
1471 Archive wurden durchsucht
0 Warnungen
0 Hinweise
377397 Objekte wurden beim Rootkitscan durchsucht
18 Versteckte Objekte wurden gefunden

und das log-file von Malwarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3994

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.04.2010 11:11:27
mbam-log-2010-04-16 (11-11-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 198487
Laufzeit: 35 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hier noch gmer-log:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-16 17:38:02
Windows 5.1.2600 Service Pack 3
Running: gbz96wox.exe; Driver: C:\DOKUME~1\ADMIN\LOKALE~1\Temp\fgtdapow.sys

---- System - GMER 1.0.15 ----

SSDT F7C70FC6 ZwCreateKey
SSDT F7C70FBC ZwCreateThread
SSDT F7C70FCB ZwDeleteKey
SSDT F7C70FD5 ZwDeleteValueKey
SSDT F7C70FDA ZwLoadKey
SSDT F7C70FA8 ZwOpenProcess
SSDT F7C70FAD ZwOpenThread
SSDT F7C70FE4 ZwReplaceKey
SSDT F7C70FDF ZwRestoreKey
SSDT F7C70FD0 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF610C380, 0x550AF5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[2044] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\Programme\Pando Networks\Pando\Pando.exe[3272] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}

---- Devices - GMER 1.0.15 ----

Device \Driver\prodrv06 \Device\ProDrv06 E1BD4008
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-1b prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-13 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-7 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E160D330
Device \Driver\USBSTOR \Device\00000079 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\0000007a sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- EOF - GMER 1.0.15 ----

und log von osam:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:27:07 on 17.04.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Daily 1).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Daily 2).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Daily 3).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Daily 4).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Weekly).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl (File signed by Microsoft | File found, but it contains no detailed information)
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"plugincpl140_04.cpl" - "Sun Microsystems" - C:\WINDOWS\system32\plugincpl140_04.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.4.5.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"cdenable" (cdenable) - ? - C:\WINDOWS\System32\Drivers\cdenable.sys (File found, but it contains no detailed information)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"DDC/CI monitor" (pdiddcci) - "Portrait Displays, Inc." - C:\WINDOWS\System32\DRIVERS\pdiddcci.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver" (RTLWUSB) - ? - C:\WINDOWS\System32\DRIVERS\wg111v2.sys (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"Pivot" (Pivot) - "Portrait Displays, Inc." - C:\WINDOWS\System32\drivers\pivot.sys
"Pivot Mouse/Pointers Filter Driver" (pivotmou) - "Portrait Displays, Inc." - C:\WINDOWS\system32\drivers\pivotmou.sys
"Portrait Displays low level device driver" (PdiPorts) - "Portrait Displays, Inc." - C:\WINDOWS\System32\Drivers\PdiPorts.sys
"speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Environment Driver v6" (prodrv06) - "Protection Technology" - C:\WINDOWS\System32\drivers\prodrv06.sys
"StarForce Protection Helper Driver" (sfhlp01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection Helper Driver v2" (prohlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\prohlp02.sys
"StarForce Protection Synchronization Driver (version 2.x)" (sfsync02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfsync02.sys
"StarForce Protection Synchronization Driver v1" (prosync1) - "Protection Technology" - C:\WINDOWS\System32\drivers\prosync1.sys
"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{CF184AD3-CDCB-4168-A3F7-8E447D129300} "CZipHandler Object" - "Hewlett-Packard Company" - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} "Eudora's Shell Extension" - ? - (File not found | COM-object registry key not found)
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
"CorelDRAW Shell Extension Component" - ? - (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} "Eudora's Shell Extension" - ? - (File not found | COM-object registry key not found)
{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech, Inc." - C:\Programme\Logitech\SetPoint\kbcplext.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{B9B9F083-2B04-452A-8691-83694AC1037B} "LogiExt Class" - "Logitech, Inc." - C:\Programme\Logitech\SetPoint\mcplext.dll
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{654D0431-C930-43C4-B8DA-9AA01BA5B486} "PDI GUI Engine COM Obj" - "Portrait Displays, Inc" - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HtmlEngine.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\realplayer\rpshell.dll
{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "{21FA44EF-376D-4D53-9B0F-8A89D3229068}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{106E49CF-797A-11D2-81A2-00E02C015623} "AlternaTIFF ActiveX" - "Medical Informatics Engineering, Inc." - C:\WINDOWS\Downloaded Program Files\alttiff.ocx / hxxp://www.alternatiff.com/install-ie/alttiff.cab
{6B75345B-AA36-438A-BBE6-4078B4C6984D} "HpProductDetection Class" - "Hewlett-Packard" - C:\Programme\HP\Common\HPDeviceDetection.dll / hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
{A796D216-2DE1-4EA8-BABB-FE6E7C959098} "HPSDDX Class" - "Hewlett-Packard Company" - C:\WINDOWS\Downloaded Program Files\sdd.dll / hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{5ED80217-570B-4DA9-BF44-BE107C0EC166} "Windows Live Safety Center Base Module" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\wlscBase.dll / hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab
{CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} "{CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Acrobat Speed Launcher.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Logitech SetPoint.lnk" - "Logitech, Inc." - C:\Programme\Logitech\SetPoint\SetPoint.exe (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists)
"AutoStart IR.lnk" - "Hauppauge Computer Works" - C:\Programme\WinTV\Ir.exe (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ADMIN\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Pando" - "Pando Networks" - C:\Programme\Pando Networks\Pando\Pando.exe /Minimized
"updateMgr" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_1_0 -reboot 1
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 7.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"DT HPW" - "Portrait Displays, Inc" - C:\Programme\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
"Gainward" - "Palit Microsystems, Inc." - C:\Programme\VDOTool\TBPanel.exe /A
"HP Component Manager" - "Hewlett-Packard Company" - "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
"HP Software Update" - "Hewlett-Packard" - "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe
"LGODDFU" - ? - C:\Programme\lg_fwupdate\fwupdate.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - ? - nwiz.exe /installquiet (File not found)
"PivotSoftware" - "Portrait Displays, Inc." - "C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe"
"RemoteControl" - "Cyberlink Corp." - "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
"Start WingMan Profiler" - "Logitech Inc." - C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"NetGear Print Server" - ? - C:\WINDOWS\system32\prtserv.dll (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Logitech Bluetooth Service" (LBTServ) - "Logitech, Inc." - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Portrait Displays Display Tune Service" (DTSRVC) - ? - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe (File found, but it contains no detailed information)
"Ulead Burning Helper" (UleadBurningHelper) - "Ulead Systems, Inc." - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"LBTWlgn" - "Logitech, Inc." - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Wäre schön, wenn Du da bei Gelegenheit drüberschauen kannst.

Bis dann,LG,
Frank

PyLi · 17.04.2010, 13:41

Hallo Franz,

die Warnung von Antivir hinsichtlich atapi hat mich nicht in Ruhe gelassen.
Ich habe daher meine c:\windows\system32\drivers\atapi.sys bei virustotal auswerten lassen:

h**p://w*w.virustotal.com/de/analisis/b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9-1271507202

angeblich (laut esafe): Win32.Rootkit

hab auch hier im forum was dazu gefunden:
h**p://w*w.trojaner-board.de/82985-rootkit-problem-wie-krieg-ich-de-dreck-weg-5.html

Ist das ein "falscher Alarm", oder hab ich da doch was gefunden?

Danke schon mal für deine Antwort.

LG,
Frank

Franz1968 · 17.04.2010, 16:09

Deine atapi.sys ist ok. Das ist ablesbar an dem md5-Wert, den du unterhalb des Virustotal-Ergebnisses findest und den du mit dem Wert einer sauberen Datei vergleichen kannst.

Wir können noch einen kurzen Scan dazu machen, der ganz schnell geht und für den du auch nichts downloaden musst:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Die übrigen Scans (OSAM, Malwarebytes, GMER) sind in Ordnung, nur zu dem AntiVir-Logfile muss ich noch was recherchieren. Inder Zwischenzeit solltest du dich um Updates einiger deiner Programme kümmern:
Adobe - Adobe Reader herunterladen - Alle Versionen (aktuell ist Version 9.3)
Java-Downloads für alle Betriebssysteme - Sun Microsystems (aktuell ist Update 20, alle alten Java-Versionen zuvor über die Systemsteuerung deinstallieren!)

PyLi · 20.04.2010, 17:09

Hallo Franz,

nochmals vielen Dank für deine Analyse.
Ich hatte in den letzten Tage einiges um die Ohren, daher hat meine Antwort leider etwas gedauert.

Den scan mit OTL hab ich gemacht; ein extra.txt hat es leider nicht ergeben.
Hier die OTL.txt:

OTL logfile created on: 20.04.2010 17:47:03 - Run 2
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\ADMIN\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,23 Gb Free Space | 59,47% Space Free | Partition Type: NTFS
Drive D: | 37,26 Gb Total Space | 33,06 Gb Free Space | 88,72% Space Free | Partition Type: NTFS
Drive E: | 39,06 Gb Total Space | 38,01 Gb Free Space | 97,32% Space Free | Partition Type: NTFS
Drive F: | 75,43 Gb Total Space | 69,53 Gb Free Space | 92,18% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,93 Gb Total Space | 1,93 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: LUCY
Current User Name: ADMIN
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Minimal
Quick Scan

========== Processes (SafeList) ==========

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\VDOTool\TBPANEL.exe (Palit Microsystems, Inc.)
PRC - C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
PRC - C:\Programme\Portrait Displays\HP My Display\dthtml.exe (Portrait Displays, Inc)
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe (Portrait Displays Inc.)
PRC - C:\Programme\Portrait Displays\Pivot Software\Floater.exe ()
PRC - C:\Programme\Portrait Displays\Pivot Software\wpCtrl.exe ()
PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
PRC - C:\WINDOWS\system32\VTTimer.exe (S3 Graphics, Inc.)
PRC - C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\lg_fwupdate\fwupdate.exe (CST)
PRC - C:\Programme\HP\hpcoretech\comp\hptskmgr.exe (Hewlett-Packard Company)
PRC - C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
PRC - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
PRC - C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd.exe (Hewlett-Packard)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation)
MOD - C:\Programme\Logitech\SetPoint\lgscroll.dll (Logitech, Inc.)
MOD - C:\Programme\Portrait Displays\Pivot Software\Winphook.dll ()

========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (SNMP) -- C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (DTSRVC) -- C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
SRV - (InCDsrv) -- C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
SRV - (SimpTcp) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)
SRV - (LPDSVC) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

O1 HOSTS File: ([2010.03.17 13:00:18 | 000,000,176 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe (Portrait Displays, Inc)
O4 - HKLM..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe (Palit Microsystems, Inc.)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe (CST)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [PivotSoftware] C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe ()
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [S3Trayp] C:\WINDOWS\System32\S3Trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKCU..\Run: [Pando] C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} hxxp://www.alternatiff.com/install-ie/alttiff.cab (AlternaTIFF ActiveX)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199617933373 (WUWebControl Class)
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab (HpProductDetection Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222965640696 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab (HPSDDX Class)
O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.184.161 83.169.184.225
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.06 09:48:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk H:\
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2008.01.06 09:48:09 | 000,000,000 | ---D | M]
NetSvcs: Iprip - C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902053519425536)

========== Files/Folders - Created Within 14 Days ==========

[2010.04.16 09:36:14 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ADMIN\Recent
[2010.04.13 14:33:22 | 000,000,000 | ---D | C] -- C:\Avenger_FP
[2010.04.11 20:46:56 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.09 19:56:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.04.07 17:57:13 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.03.01 09:36:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2010.02.09 19:15:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.02.09 19:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.11.20 20:20:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2009.08.02 21:15:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 14:01:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 09:48:11 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 14 Days ==========

[2010.04.20 17:49:34 | 000,000,559 | ---- | M] () -- C:\WINDOWS\DFC.INI
[2010.04.20 17:40:43 | 001,082,570 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.20 17:40:43 | 000,474,806 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.20 17:40:43 | 000,433,698 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.20 17:40:43 | 000,090,588 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.20 17:40:43 | 000,067,984 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.20 17:40:13 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
[2010.04.20 17:40:07 | 000,267,725 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.04.20 17:40:01 | 000,000,255 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
[2010.04.20 17:39:45 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.20 17:39:44 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.20 17:39:44 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.20 17:36:36 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.20 17:36:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.20 17:36:31 | 1072,156,672 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.17 15:33:48 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2010.04.17 15:33:48 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2010.04.17 15:25:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.17 14:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.04.16 17:19:06 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.16 11:12:23 | 000,000,215 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2010.04.15 08:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.04.15 02:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.04.14 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.04.12 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.04.12 13:47:17 | 000,000,073 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\file.bat
[2010.04.12 13:45:18 | 000,077,312 | ---- | M] () -- C:\mbr.exe
[2010.04.11 20:46:59 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.07 22:44:15 | 000,078,336 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:29:38 | 000,286,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.07 14:23:00 | 000,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:20 | 000,244,736 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:53 | 000,484,352 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.12 13:47:17 | 000,000,073 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\file.bat
[2010.04.12 13:45:18 | 000,077,312 | ---- | C] () -- C:\mbr.exe
[2010.04.07 22:44:15 | 000,078,336 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:23:00 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:19 | 000,244,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:52 | 000,484,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[2009.09.14 17:55:11 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.06.20 19:58:19 | 000,000,179 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup.log
[2009.06.20 19:58:12 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup_ldm.iss
[2008.05.31 13:35:13 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.04.06 18:17:30 | 000,000,600 | ---- | C] () -- C:\WINDOWS\Rtcw.INI
[2008.04.06 17:47:16 | 000,040,960 | ---- | C] () -- C:\Programme\Uninstall_CDS.exe
[2008.04.06 17:46:07 | 000,000,255 | ---- | C] () -- C:\WINDOWS\lgfwup.ini
[2008.03.29 18:57:26 | 000,002,304 | ---- | C] () -- C:\WINDOWS\System32\Machnm32.sys
[2008.03.29 17:56:24 | 000,000,559 | ---- | C] () -- C:\WINDOWS\DFC.INI
[2008.02.17 13:08:06 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.16 16:37:01 | 000,000,769 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\.plugin140_04.trace
[2008.02.16 16:36:36 | 000,045,164 | ---- | C] () -- C:\WINDOWS\System32\ActPanel.dll
[2008.01.13 20:55:15 | 000,009,299 | ---- | C] () -- C:\WINDOWS\hpdj5600.ini
[2008.01.13 16:39:50 | 000,299,454 | ---- | C] () -- C:\WINDOWS\Allsim.ini
[2008.01.13 16:39:49 | 000,061,268 | ---- | C] () -- C:\WINDOWS\Biutilsm.ini
[2008.01.13 16:39:49 | 000,057,969 | ---- | C] () -- C:\WINDOWS\Simsim.ini
[2008.01.13 16:39:49 | 000,000,580 | ---- | C] () -- C:\WINDOWS\Common.ini
[2008.01.13 16:39:43 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\Prtserv.dll
[2008.01.13 14:41:07 | 000,000,215 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2008.01.13 14:13:03 | 000,000,248 | ---- | C] () -- C:\WINDOWS\HCWBlast.ini
[2008.01.13 14:11:55 | 000,004,027 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2008.01.13 13:31:46 | 000,000,215 | ---- | C] () -- C:\WINDOWS\nanoPEG.ini
[2008.01.13 13:27:39 | 000,000,349 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2008.01.13 13:27:22 | 000,029,998 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008.01.13 13:27:16 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2008.01.12 21:53:17 | 000,000,811 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Eudora.lnk
[2008.01.12 19:38:30 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2008.01.12 18:37:52 | 000,000,447 | ---- | C] () -- C:\WINDOWS\Chem3D.INI
[2008.01.12 18:18:12 | 000,006,112 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdenable.sys
[2008.01.12 17:30:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.01.06 13:40:16 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2008.01.06 13:00:56 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.01.06 10:14:01 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2008.01.06 10:08:47 | 002,465,280 | ---- | C] () -- C:\WINDOWS\System32\s3gcil_inv.dll
[2008.01.06 10:05:11 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2008.01.06 10:05:04 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2008.01.06 09:52:03 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.dat.LOG
[2008.01.06 09:52:03 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2008.01.06 09:52:02 | 004,980,736 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2007.11.28 10:45:31 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.07.21 16:50:34 | 000,066,048 | ---- | C] () -- C:\WINDOWS\System32\hcwXDS.dll
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys

========== LOP Check ==========

[2009.02.16 18:57:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\ChemOffice2004
[2008.03.29 18:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\DisplayTune
[2008.01.12 21:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Qualcomm
[2008.01.13 13:43:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Ulead Systems
[2008.08.01 17:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Windows Desktop Search
[2009.04.02 19:41:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Windows Search
[2010.04.07 13:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\WinTrack
[2008.11.09 12:08:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
[2008.03.31 21:21:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
[2008.01.13 13:43:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.12.07 15:01:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.04.14 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 1).job
[2010.04.15 02:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 2).job
[2010.04.15 08:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 3).job
[2010.04.17 14:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 4).job
[2010.04.12 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

========== Purity Check ==========

========== Custom Scans ==========

< %SYSTEMDRIVE%\*.exe >
[2010.04.12 13:45:18 | 000,077,312 | ---- | M] () -- C:\mbr.exe

< MD5 for: AGP440.SYS >
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
[2004.08.04 08:07:41 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\$NtServicePackUninstall$\agp440.sys

< MD5 for: ATAPI.SYS >
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 07:59:42 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 07:59:42 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys

< MD5 for: EVENTLOG.DLL >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 09:57:18 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll

< MD5 for: NETLOGON.DLL >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 09:57:30 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

< MD5 for: SCECLI.DLL >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 09:57:33 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\system32\drivers\*.sys /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2008.01.06 10:37:03 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2008.01.06 10:37:03 | 000,634,880 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2008.01.06 10:37:03 | 000,425,984 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
< End of report >

Die Updates für den Adobe Reader und Java werde ich jetzt dann gleich noch machen. Außerdem will ich auf Firefox und Thunderbird umsteigen.

Bin schon gespannt, ob der PC wieder sauber ist (auch hinsichtlich des Anitivir-Scans).

LG,
Frank

PyLi · 20.04.2010, 20:22

Hallo Franz,

gerade eben hat es ein weiteres Problem gegeben

:
Antivir hat plötzlich auf den Festplatten d: und f: auf die Datei autorun.inf angeschlagen und den Zugriff geblockt. Damit verbunden war (auf beiden Platten) jeweils das file yjmirb.exe. Dieses wurde von Antivir als TR/Agent.695907 erkannt und entfernt. Auf beiden Platten verblieb jedoch das file khq (größe 0kb) und die autorun.inf. Interessant ist, dass diese "Modifikation" nur auf diesen beiden Partitionen erfolgt ist; wahrscheinlich weil diese beiden Partitionen für Nutzer meines Netzwerks (dieser PC läuft seit dem eigentlichen Problem davon getrennt) freigegeben waren (habs schon geändert).
Die autorun.inf-files sind noch da; hab davon eine Kopie gemacht und bei virustotal analysieren lassen:
Ergebnis: Trojan.AutorunINF.Gen
bzw.

h**p://w*w.virustotal.com/de/analisis/530fb5bdb398ac1dbcbcf51a1d3105149c3ca988b7e9a8a4f06c57157d195af4-1271789995

Das Ganze hatte auch noch eine weitere Auswirkung: Wenn man unter Arbeitsplatz auf diese beiden Partitionen zugreifen will, dann werden sie nicht geöffnet, sondern man wird gefragt mit welchem Programm sie geöffnet werden sollen. Über den Explorer kann man jedoch (noch) zugreifen.

Soll/muß ich dafür ein neues Thema eröffnen, oder können wir das gleich mit "behandeln"?

Schon mal vielen Dank,
LG
Frank

Franz1968 · 21.04.2010, 08:43

Zitat:

Zitat von PyLi

Soll/muß ich dafür ein neues Thema eröffnen, oder können wir das gleich mit "behandeln"?

Nein, das machen wir hier; es ist ja ein und derselbe Rechner.

Zitat:

Damit verbunden war (auf beiden Platten) jeweils das file yjmirb.exe. Dieses wurde von Antivir als TR/Agent.695907 erkannt und entfernt.

In welchen Pfaden genau?
Wenn du die Datei noch in Quarantäne hast, ab damit zu Virustotal zur genaueren Bestimmung.

Außerdem mach bitte einen Full-Scan mit Malwarebytes nach Aktualisieren der Signaturen. Schließe alles an, was du noch an Sticks, externen Festplatten usw. hast, lass alle Funde entfernen und poste natürlich den Bericht. Poste auch das letzte Avira-Logfile.

PyLi · 21.04.2010, 16:04

Hallo Franz,

es freut mich, dass wir das auch gleich hier durchziehen können.

Das exe-file habe ich leider nicht mehr. Mein Antivir war scheinbar so eingestellt, dass es die Funde gleich entfernt hat

. Ich habe das aber jetzt geändert, dann hab ich Zukunft wenigstens noch die Möglichkeit die files bei Virustotal auswerten zu lassen.

Hinsichtlich der Pfade siehe folgenden Antivir-Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 20. April 2010 20:32

Es wird nach 2019888 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.565 32097 Bytes 12.04.2010 16:13:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56
VBASE015.VDF : 7.10.6.124 2048 Bytes 19.04.2010 15:41:56
VBASE016.VDF : 7.10.6.125 2048 Bytes 19.04.2010 15:41:56
VBASE017.VDF : 7.10.6.126 2048 Bytes 19.04.2010 15:41:56
VBASE018.VDF : 7.10.6.127 2048 Bytes 19.04.2010 15:41:56
VBASE019.VDF : 7.10.6.128 2048 Bytes 19.04.2010 15:41:56
VBASE020.VDF : 7.10.6.129 2048 Bytes 19.04.2010 15:41:56
VBASE021.VDF : 7.10.6.130 2048 Bytes 19.04.2010 15:41:56
VBASE022.VDF : 7.10.6.131 2048 Bytes 19.04.2010 15:41:56
VBASE023.VDF : 7.10.6.132 2048 Bytes 19.04.2010 15:41:56
VBASE024.VDF : 7.10.6.133 2048 Bytes 19.04.2010 15:41:56
VBASE025.VDF : 7.10.6.134 2048 Bytes 19.04.2010 15:41:56
VBASE026.VDF : 7.10.6.135 2048 Bytes 19.04.2010 15:41:56
VBASE027.VDF : 7.10.6.136 2048 Bytes 19.04.2010 15:41:56
VBASE028.VDF : 7.10.6.137 2048 Bytes 19.04.2010 15:41:56
VBASE029.VDF : 7.10.6.138 2048 Bytes 19.04.2010 15:41:56
VBASE030.VDF : 7.10.6.139 2048 Bytes 19.04.2010 15:41:56
VBASE031.VDF : 7.10.6.144 74752 Bytes 20.04.2010 15:41:56
Engineversion : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 01.04.2010 14:25:36
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 16.04.2010 07:23:32
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.2.1 254323 Bytes 01.04.2010 14:25:36
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.1.0 393587 Bytes 01.04.2010 14:25:36
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.0.3 53618 Bytes 01.04.2010 14:25:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e0d254af\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Dienstag, 20. April 2010 20:32

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\mozilla firefox\firefox.exe
c:\Programme\Mozilla Firefox\firefox.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pando.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'F:\yjmirb.exe'
F:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe'
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
Beginne mit der Suche in 'D:\yjmirb.exe'
D:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907

Beginne mit der Desinfektion:
D:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde gelöscht.
F:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Dienstag, 20. April 2010 20:36
Benötigte Zeit: 03:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
63 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
60 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
3 Hinweise
47841 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Die Suchergebnisse werden an den Guard übermittelt.

In den Verzeichnisse d:\ und f:\ befindet sich jeweils noch die autorun.inf und die khq-Systemdatei (versteckt, 0kb). In C:\Dokumente und Einstellungen\All Users\Dokumente\ befindet sich nur die khq-Datei aber nicht die autorun.inf.

Den Full-Scan mit Malwarebytes mache ich jetzt gleich; Ergebnis kommt dann sofort im Anschluß.

LG,
Frank

Franz1968 · 21.04.2010, 17:10

Vorweg eine Nachfrage:

Zitat:

Zitat von PyLi

Außerdem will ich auf Firefox und Thunderbird umsteigen.

Zitat:

Zitat von PyLi

c:\programme\mozilla firefox\firefox.exe
c:\Programme\Mozilla Firefox\firefox.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Hattest du zum Zeitpunkt des Avira-Scans, also gestern Abend, den Firefox schon installiert?

PyLi · 21.04.2010, 17:30

Hallo Franz,

zuerst zu deiner Nachfrage:

Entsprechend deinem Rat, habe ich zunächst (mit Hilfe deines Links) den Adobe-Reader auf den neuesten Stand gebracht.
Das Adobe-Paket (Reader, Distiller usw.) kann ich nicht weiter updaten; ich müsste eine neue Lizenz kaufen. Daher werde ich versuchen von diesem Paket weg zu kommen. Kennst du eine gute und sichere Freeware-Software mit der man pdf-files erstellen und bearbeiten (z.B. miteinander verbinden) kann?
Auch das Java-Paket habe ich zunächst deinstalliert und dann (mit Hilfe deines Links) auf den neuesten Stand gebracht.
Anschließend habe ich Firefox (über den Link vom TB) installiert.
Zusätzlich habe ich dann noch Secunia PSI (siehe auch TB) installiert und mein System analysiert.
Auf Thunderbird habe ich verzichtet, da ich von diesem PC keine Emails mehr abrufen will, da ich über seine Sicherheit nichts sagen kann.
Als letztes habe ich gestern noch google-earth bei CHIP heruntergeladen und installiert.
Bei der Benutzung von google-earth hat dann plötzlich Antivir Alarm geschlagen und einen kurzen Scan gemacht -> siehe Antivir-Report.
Es war also kein von mir durchgeführter Scan, sondern der Guard.

Ich habe da auch noch drei Fragen:
1) Ich verstehe nicht, wie die Files auf den PC kommen konnten. War da eines der Downloads infiziert?
2) Unter dem Reiter "Quarantäne" von Malwarebytes ist noch der Trojan.FakeAlert aufgelistet. Was soll ich damit machen?
3) Warum gibt es auch auf der Partition F:\ einen "Windows"-Ordner?

Der Full-Scan mit Malwarebytes ist auch durch:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4016

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.04.2010 17:53:15
mbam-log-2010-04-21 (17-53-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 195674
Laufzeit: 44 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Schon mal

,
Frank

Franz1968 · 22.04.2010, 06:43

Wir graben noch mal tiefer:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

* Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

* Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung
* Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
* Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
* Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
* Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

PyLi · 22.04.2010, 13:46

Hallo Franz,

vielen Dank für deine weitere Hilfe.

Ich habe den Scan mit Combofix durchgeführt. Dabei wurde auch etwas gelöscht und der PC dann neugestartet; verlief alles ohne Probleme. Habe während des Scans den Guard von Antivir, Secunia PSI und die Windows-Firewall deaktiviert. Der Antivir-Guard wurde beim Neustart jedoch automatisch reaktiviert. Macht das etwas aus?
Firewall und PSI habe ich nach dem Ende von Combofix wieder aktiviert.

Mir ist aufgefallen, daß Combofix die "khq"-Dateien gelöscht hat (auf d:\ und f:\); das File steht aber auch unter C:\Dokumente und Einstellungen\All Users\Dokumente\ (vgl. Antivir-Report unten) und wurde dort nicht gelöscht. Warum ist dem so?

Hier das log-File:
ComboFix 10-04-21.01 - ADMIN 22.04.2010 14:07:38.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.477 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ADMIN\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\tmp67.tmp
c:\windows\system32\tmp68.tmp
c:\windows\system32\VB6KO.DLL
D:\Autorun.inf
D:\khq
F:\Autorun.inf
F:\khq

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip

((((((((((((((((((((((( Dateien erstellt von 2010-03-22 bis 2010-04-22 ))))))))))))))))))))))))))))))
.

2010-04-20 18:30 . 2010-04-20 18:30 -------- d--h--w- c:\windows\PIF
2010-04-20 18:08 . 2010-04-20 18:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-04-20 16:54 . 2010-04-20 16:54 -------- d-----w- c:\programme\Secunia
2010-04-20 16:51 . 2010-04-20 16:51 0 ----a-w- c:\windows\nsreg.dat
2010-04-20 16:51 . 2010-04-20 16:51 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-04-20 16:25 . 2010-04-20 16:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-20 16:25 . 2010-04-20 16:25 503808 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-622463f7-n\msvcp71.dll
2010-04-20 16:25 . 2010-04-20 16:25 499712 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-622463f7-n\jmc.dll
2010-04-20 16:25 . 2010-04-20 16:25 348160 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-622463f7-n\msvcr71.dll
2010-04-20 16:25 . 2010-04-20 16:25 61440 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7225077d-n\decora-sse.dll
2010-04-20 16:25 . 2010-04-20 16:25 12800 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7225077d-n\decora-d3d.dll
2010-04-20 16:25 . 2010-04-20 16:24 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-20 16:24 . 2010-04-20 16:24 -------- d-----w- c:\programme\Java
2010-04-13 12:33 . 2010-04-13 12:33 -------- d-----w- C:\Avenger_FP
2010-04-12 11:45 . 2010-04-12 11:45 77312 ----a-w- C:\mbr.exe
2010-04-04 14:47 . 2010-04-04 14:47 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Avira
2010-04-04 14:47 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-04 14:47 . 2010-02-16 11:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-04 14:47 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-04-04 14:47 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-04-04 14:46 . 2010-04-04 14:46 -------- d-----w- c:\programme\Avira
2010-04-04 14:46 . 2010-04-04 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-04-01 17:13 . 2010-04-01 17:13 388096 ----a-r- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-04-01 17:13 . 2010-04-01 17:13 -------- d-----w- c:\programme\HJT
2010-04-01 16:58 . 2010-04-07 12:47 -------- d-----w- c:\programme\trend micro
2010-04-01 16:58 . 2010-04-01 16:58 -------- d-----w- C:\rsit
2010-04-01 16:32 . 2010-04-01 16:32 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Malwarebytes
2010-04-01 16:32 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-01 16:32 . 2010-04-01 16:42 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-01 16:32 . 2010-04-01 16:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-01 16:32 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-01 16:11 . 2010-04-01 16:11 -------- d-----w- c:\programme\CCleaner
2010-04-01 11:13 . 2010-04-20 18:35 -------- d-----w- c:\windows\system32\NtmsData
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-03-26 16:17 . 2010-03-26 16:17 49152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-03-26 16:17 . 2010-03-26 16:17 308808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-03-26 16:17 . 2010-03-26 16:17 40960 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-03-26 16:17 . 2010-03-26 16:17 341600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-03-26 16:17 . 2010-03-26 16:17 14848 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-03-26 16:15 . 2010-03-26 16:15 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 12:15 . 2008-04-06 15:46 -------- d-----w- c:\programme\lg_fwupdate
2010-04-20 18:10 . 2009-11-27 20:16 -------- d-----w- c:\programme\Google
2010-04-20 16:47 . 2008-01-12 17:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-20 16:45 . 2008-01-12 18:03 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\AdobeUM
2010-04-20 16:38 . 2001-08-18 12:00 90588 ----a-w- c:\windows\system32\perfc007.dat
2010-04-20 16:38 . 2001-08-18 12:00 474806 ----a-w- c:\windows\system32\perfh007.dat
2010-04-20 16:13 . 2008-01-06 08:02 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-20 16:11 . 2008-01-06 12:01 83448 ----a-w- c:\dokumente und einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-07 11:49 . 2008-11-15 14:08 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\WinTrack
2010-04-04 14:43 . 2009-11-20 19:00 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-01 19:52 . 2009-11-20 19:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-04-01 19:52 . 2009-11-20 19:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-26 16:17 . 2009-11-27 20:16 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2010-03-26 16:16 . 2009-11-27 20:16 -------- d-----w- c:\programme\Real
2010-03-14 14:02 . 2008-01-06 08:13 -------- d-----w- c:\programme\Fox LiveUpdate
2010-03-11 10:56 . 2008-01-12 18:59 -------- d-----w- c:\programme\SpeedFan
2010-03-10 06:15 . 2001-08-18 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-01 07:28 . 2010-03-01 07:28 -------- d-----w- c:\programme\Pando Networks
2010-02-25 06:15 . 2001-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-18 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2001-08-18 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2001-08-18 04:28 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-06 14:29 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2001-08-18 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2001-08-18 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2004-10-01 13:00 . 2008-04-06 15:47 40960 ----a-w- c:\programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando"="c:\programme\Pando Networks\Pando\Pando.exe" [2010-03-01 4932280]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-20 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2006-06-16 53248]
"S3Trayp"="S3Trayp.exe" [2005-11-01 163840]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-10 188416]
"Gainward"="c:\programme\VDOTool\TBPanel.exe" [2007-11-27 2169368]
"PivotSoftware"="c:\programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 694008]
"DT HPW"="c:\programme\Portrait Displays\HP My Display\DTHtml.exe" [2007-04-25 280064]
"LGODDFU"="c:\programme\lg_fwupdate\fwupdate.exe" [2005-04-12 229376]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 93208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-26 202256]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\ADMIN\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-8-21 900816]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2008-1-12 25214]
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2008-1-13 106551]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-9-17 805392]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2004\\ChemDraw\\ChemDraw.exe"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2004\\Chem3D\\Chem3D.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2004\\ENotebook\\ENotebook8.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Pando Networks\\Pando\\Pando.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56782:TCP"= 56782:TCP:Pando
"56782:UDP"= 56782:UDP:Pando

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.04.2010 16:47 135336]
R2 cdenable;cdenable;c:\windows\system32\drivers\cdenable.sys [12.01.2008 18:18 6112]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.06.2009 14:20 12648]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 19:10 135664]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys --> c:\windows\system32\DRIVERS\wg111v2.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-22 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-04-20 18:08]

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:10]

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:10]

2010-04-22 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-04-16 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Mozilla\Firefox\Profiles\a3xon3ls.default\
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1739.5352\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-22 14:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:33,70,19,b8,97,08,e7,12,c9,db,66,07,0b,6a,ee,0e,43,f9,a6,13,a7,ee,a9,
48,63,ce,b4,48,f6,7a,eb,3d,29,ba,4a,b2,0a,01,5a,cb,1b,e4,e4,16,43,3e,a6,50,\
"??"=hex:69,3e,43,58,9f,64,ba,75,fe,6b,77,07,2a,78,dd,74

[HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:0f,64,aa,a4,60,02,d6,9a,04,a8,e9,fd,44,e0,a2,87,66,f1,cf,fe,97,
bb,7c,b2,11,e0,73,c9,94,e3,d0,e6,1e,ad,4c,63,e8,0e,4b,76,ac,13,c3,e5,2a,e6,\
"rkeysecu"=hex:e3,fa,7f,80,fc,7e,c8,67,47,e5,fd,c9,5b,39,90,a4

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\HID\Vid_1241&Pid_1122\7&20715b98&0&0000\LogConf]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(256)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\programme\Portrait Displays\Pivot Software\winphook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Ahead\InCD\InCDsrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\VTTimer.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Portrait Displays\Pivot Software\floater.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
c:\windows\system32\wscntfy.exe
c:\programme\HP\hpcoretech\comp\hptskmgr.exe
c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-22 14:19:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-22 12:19

Vor Suchlauf: 13 Verzeichnis(se), 23.688.630.272 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 23.599.222.784 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - ECF995D321A81E7206FC1B24DFE30D30

LG,
Frank

Franz1968 · 22.04.2010, 17:18

Schau mal bitte nach dem Ordner c:\qoobox, zippe ihn, lade ihn hoch, poste den Link und sichere den Löschlink (oder schicke ihn mir).

PyLi · 22.04.2010, 17:31

Hallo Franz,

ich habe das zip-File hochgeladen:
h**p://w*w.file-upload.net/download-2457245/Qoobox.zip.html

Den Lösch-Link habe ich gesichert, wenn du ihn benötigst, sende ich ihn dir per PN.

Ich habe auch mal nach den beiden Files vom Typ (tmpxx.tmp) gegoogelt:
Das könnte damit zu tun haben, dass ich auf dem PC mal "Grid" von Codemasters installiert hatte (es lief leider nie richtig). Siehe hierzu auch (Anfang vom vorletzten post):
h**p://w*w.bleepingcomputer.com/forums/lofiversion/index.php/t43051.html%5B/t264740.html

Schon mal vielen Dank.

LG,
Frank

Franz1968 · 23.04.2010, 20:36

Ok, das sieht ganz gut aus. Den hochgeladenen Ordner lösche jetzt bitte.

Da dein Antivir die ominöse yjmirb.exe gelöscht hat, werden wir nicht mehr erfahren, womit dein Rechner infiziert war.
Zum Abschluss würde ich dir empfehlen, noch einen Durchlauf mit SUPERAntiSpyware und einem Online-Scanner deiner Wahl zu machen (Panda oder F-Secure z.B.).
Wenn wir dort nichts mehr finden, sind wir durch.

22.04.2010, 17:18	#43
Franz1968 /// Helfer-Team	$gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard$ gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Schau mal bitte nach dem Ordner c:\qoobox, zippe ihn, lade ihn hoch, poste den Link und sichere den Löschlink (oder schicke ihn mir). __________________ Alle Tipps und Anleitungen ohne Gewähr

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll

Plagegeister aller Art und deren Bekämpfung: gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll