Hallo.

Haben von einem bekannten einen Rechner voller Viren bekommen. Er hatte kein Antivirenprogramm! Zuerst habe ich ihn mit CCleaner bereinigt. Dann Malwarebytes und NOD32 installiert und jeweils ein Scann gemacht. Meldung: Omarik Rootkit! Gmer funktioniert nicht! Es lässt dich starten, geht aber nach dem "kleinen scan" am anfang wieder zu. Habe schon den TDSSKiller durchgeführt und dieser hat 2 Sachen gefunden und entfernt.

Weiß nun nicht ob das System "sauber" ist oder ob es überhaupt noch zu retten ist?

Malwarebyteslog nach dem TDSSKiller im Anhang

Hallo und

Wurde die Funde mit Malwarebytes entfernt? Poste bitte auch das tdsskiller Logfile.
Mach danach:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malwarebytes hat alles entfernt und den Log von dem TDSS habe ich nicht mehr

Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O27 - HKLM IFEO\mrt.exe: Debugger - svchost.exe (Microsoft Corporation)
[2010.04.08 11:36:14 | 000,000,000 | ---D | C] -- C:\~SSDFS
[2010.03.10 20:27:18 | 000,001,170 | ---- | C] () -- C:\WINDOWS\System32\_VOIDmfeklnmal.dll
         

Klick dann auf den Button Run Fixes!
Das Logfile nach dem Fixen müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mrt.exe\ deleted successfully.
Item C:\WINDOWS\System32\svchost.exe is whitelisted and cannot be moved.
C:\~SSDFS folder moved successfully.
C:\WINDOWS\system32\_VOIDmfeklnmal.dll moved successfully.

OTL by OldTimer - Version 3.2.1.1 log created on 04122010_141922

Schön. Dann mach mal jetzt ein Log mit CF, das nimmt ist ernorm viel Arbeit ab:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix 10-04-11.06 - USER 12.04.2010 15:33:10.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.255.63 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\USER\Desktop\cofi.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Im Speicher befindliches AV aktiv.

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2294139550-416842346-4069362482-1001
c:\programme\Mozilla Firefox\searchplugins\search.xml
c:\windows\system32\tmp.reg
c:\windows\winhelp.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_KGOOTKIT
-------\Legacy_NPF
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2010-03-12 bis 2010-04-12 ))))))))))))))))))))))))))))))
.

2010-04-12 13:33 . 2010-04-12 13:33 -------- d-----w- c:\dokumente und einstellungen\USER\Lokale Einstellungen\Anwendungsdaten\ESET
2010-04-12 12:19 . 2010-04-12 12:19 -------- d-----w- C:\_OTL
2010-04-12 09:24 . 2010-04-12 09:24 5918776 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-12 09:24 . 2010-04-12 09:24 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-04-12 09:18 . 2010-04-12 09:18 -------- d-sh--w- c:\dokumente und einstellungen\USER\IETldCache
2010-04-12 09:11 . 2010-02-25 06:15 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-04-12 09:11 . 2010-02-25 06:15 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-04-12 09:11 . 2010-02-25 06:15 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-04-12 09:11 . 2010-02-25 06:15 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-04-12 09:11 . 2010-02-25 06:14 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-04-12 09:11 . 2010-02-25 09:45 11070976 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-04-12 09:11 . 2010-04-12 09:11 -------- d-----w- c:\windows\ie8updates
2010-04-12 09:10 . 2010-02-16 04:50 64000 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-04-12 09:08 . 2010-04-12 09:10 -------- dc-h--w- c:\windows\ie8
2010-04-12 09:08 . 2010-04-12 09:09 -------- d-----w- c:\windows\system32\de-DE
2010-04-09 10:12 . 2010-04-09 10:12 -------- d-----w- c:\programme\ESET
2010-04-09 10:12 . 2010-04-09 10:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2010-04-09 08:41 . 2010-04-09 08:41 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-04-09 08:38 . 2010-04-09 08:38 -------- d-----w- c:\dokumente und einstellungen\USER\Anwendungsdaten\Malwarebytes
2010-04-09 07:44 . 2010-04-09 07:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-04-09 07:44 . 2010-04-09 07:44 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-09 06:40 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-09 06:40 . 2010-04-12 09:24 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-09 06:40 . 2010-04-09 06:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-09 06:40 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-09 06:40 . 2010-04-09 06:40 -------- d-----w- c:\programme\Trend Micro
2010-04-09 06:40 . 2010-04-09 06:41 -------- d-----w- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-12 09:05 . 2010-01-23 16:15 -------- d-----w- c:\dokumente und einstellungen\USER\Anwendungsdaten\HPAppData
2010-03-28 07:45 . 2001-08-18 12:00 49372 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 07:45 . 2001-08-18 12:00 320424 ----a-w- c:\windows\system32\perfh007.dat
2010-02-27 17:01 . 2010-02-27 14:28 597 ----a-w- c:\dokumente und einstellungen\USER\Anwendungsdaten\mdbu.bin
2010-02-25 06:15 . 2004-08-03 22:57 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-12 10:03 . 2010-03-11 19:35 293376 ------w- c:\windows\system32\browserchoice.exe
2010-01-23 16:14 . 2010-01-23 15:59 183412 ----a-w- c:\windows\hpoins16.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-14 67128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-30 4603904]
"nwiz"="nwiz.exe" [2004-09-30 921600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-09-30 86016]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-3-14 67128]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2006-2-4 573440]
PHOTOfunSTUDIO -viewer-.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-5-21 40960]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Image Transfer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Image Transfer.lnk
backup=c:\windows\pss\Image Transfer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2005-02-04 09:01 456704 ----a-w- c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
2001-12-06 12:09 45056 ----a-w- c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2002-04-15 08:12 57344 ----a-w- c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 20:17 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2007-08-22 15:31 80896 ----a-w- c:\programme\HP\Digital Imaging\bin\HpqSRmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
2004-03-31 16:21 114688 ----a-w- c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [08.12.2005 16:37 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [08.12.2005 16:37 5248]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16.11.2009 09:06 96408]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [18.02.2005 17:51 11776]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 09:04 735960]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [22.12.2005 17:31 1527900]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\msoffice\OFFICE11\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
SafeBoot-klmdb.sys
MSConfigStartUp-CleanUp Antivirus - c:\dokumente und einstellungen\All Users\Anwendungsdaten\34e95d9\CU34e9.exe
MSConfigStartUp-mmtask - c:\program files\MusicMatch\MusicMatch Jukebox\mmtask.exe
MSConfigStartUp-SSS7 - c:\programme\Steganos Security Suite 7\SSS7.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-12 15:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x81898D68]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf9a76fc3
\Driver\ACPI -> ACPI.sys @ 0xf99c2cb8
\Driver\atapi -> 0x81898d68
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084
ParseProcedure -> ntoskrnl.exe @ 0x8056f07e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084
ParseProcedure -> ntoskrnl.exe @ 0x8056f07e
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf9848ba0
PacketIndicateHandler -> NDIS.sys @ 0xf9855b21
SendHandler -> NDIS.sys @ 0xf983387b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3276)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Logitech\SetPoint\KHALMNPR.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-12 15:50:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-12 13:50

Vor Suchlauf: 16 Verzeichnis(se), 25.025.933.312 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 25.006.637.056 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 543460327CE99295D4A00F6F200AD845

SIeht gut aus. Kannst Du den Ordner C:\_OTL mal bitte zippen und diese ZIP-Datei bei uns hochladen > http://www.trojaner-board.de/54791-a...ner-board.html
Vor dem Zippen bitte den Virenscanner ausmachen, ich möchte die gelöschten Schädlingsdateien mal unter die Lupe nehmen und will nicht, dass da was von gelöscht wird. Danach kannst den Virenscanner wieder anmachen.

Ohje, habe Combofix nochmal durchlaufen lassen. Wieder etwas gefunden gibt es nichts mehr zu retten?






ComboFix 10-04-12.04 - USER 13.04.2010 8:33.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.255.106 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\USER\Desktop\cofi.exe
.

((((((((((((((((((((((( Dateien erstellt von 2010-03-13 bis 2010-04-13 ))))))))))))))))))))))))))))))
.

2010-04-12 13:33 . 2010-04-12 13:33 -------- d-----w- c:\dokumente und einstellungen\USER\Lokale Einstellungen\Anwendungsdaten\ESET
2010-04-12 12:19 . 2010-04-12 12:19 -------- d-----w- C:\_OTL
2010-04-12 09:24 . 2010-04-12 09:24 5918776 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-12 09:24 . 2010-04-12 09:24 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-04-12 09:18 . 2010-04-12 09:18 -------- d-sh--w- c:\dokumente und einstellungen\USER\IETldCache
2010-04-12 09:11 . 2010-02-25 06:15 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-04-12 09:11 . 2010-02-25 06:15 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-04-12 09:11 . 2010-02-25 06:15 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-04-12 09:11 . 2010-02-25 06:15 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-04-12 09:11 . 2010-02-25 06:14 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-04-12 09:11 . 2010-02-25 09:45 11070976 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-04-12 09:11 . 2010-04-12 09:11 -------- d-----w- c:\windows\ie8updates
2010-04-12 09:10 . 2010-02-16 04:50 64000 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-04-12 09:08 . 2010-04-12 09:10 -------- dc-h--w- c:\windows\ie8
2010-04-12 09:08 . 2010-04-12 09:09 -------- d-----w- c:\windows\system32\de-DE
2010-04-09 10:12 . 2010-04-09 10:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2010-04-09 08:41 . 2010-04-09 08:41 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-04-09 08:38 . 2010-04-09 08:38 -------- d-----w- c:\dokumente und einstellungen\USER\Anwendungsdaten\Malwarebytes
2010-04-09 07:44 . 2010-04-09 07:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-04-09 07:44 . 2010-04-09 07:44 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-09 06:40 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-09 06:40 . 2010-04-12 09:24 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-09 06:40 . 2010-04-09 06:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-09 06:40 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-09 06:40 . 2010-04-09 06:40 -------- d-----w- c:\programme\Trend Micro
2010-04-09 06:40 . 2010-04-09 06:41 -------- d-----w- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-12 09:05 . 2010-01-23 16:15 -------- d-----w- c:\dokumente und einstellungen\USER\Anwendungsdaten\HPAppData
2010-03-28 07:45 . 2001-08-18 12:00 49372 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 07:45 . 2001-08-18 12:00 320424 ----a-w- c:\windows\system32\perfh007.dat
2010-02-27 17:01 . 2010-02-27 14:28 597 ----a-w- c:\dokumente und einstellungen\USER\Anwendungsdaten\mdbu.bin
2010-02-25 06:15 . 2004-08-03 22:57 916480 ------w- c:\windows\system32\wininet.dll
2010-02-12 10:03 . 2010-03-11 19:35 293376 ------w- c:\windows\system32\browserchoice.exe
2010-01-23 16:14 . 2010-01-23 15:59 183412 ----a-w- c:\windows\hpoins16.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-14 67128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-30 4603904]
"nwiz"="nwiz.exe" [2004-09-30 921600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-09-30 86016]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-3-14 67128]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2006-2-4 573440]
PHOTOfunSTUDIO -viewer-.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-5-21 40960]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Image Transfer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Image Transfer.lnk
backup=c:\windows\pss\Image Transfer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2005-02-04 09:01 456704 ----a-w- c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
2001-12-06 12:09 45056 ----a-w- c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2002-04-15 08:12 57344 ----a-w- c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 20:17 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2007-08-22 15:31 80896 ----a-w- c:\programme\HP\Digital Imaging\bin\HpqSRmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
2004-03-31 16:21 114688 ----a-w- c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [08.12.2005 16:37 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [08.12.2005 16:37 5248]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [18.02.2005 17:51 11776]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [22.12.2005 17:31 1527900]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\msoffice\OFFICE11\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-13 08:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x819E25E0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf9a76fc3
\Driver\ACPI -> ACPI.sys @ 0xf99c2cb8
\Driver\atapi -> 0x819e25e0
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084
ParseProcedure -> ntoskrnl.exe @ 0x8056f07e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084
ParseProcedure -> ntoskrnl.exe @ 0x8056f07e
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf9848ba0
PacketIndicateHandler -> NDIS.sys @ 0xf9855b21
SendHandler -> NDIS.sys @ 0xf983387b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3024)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Logitech\SetPoint\KHALMNPR.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\wscntfy.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-13 08:45:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-13 06:45
ComboFix2.txt 2010-04-12 13:50

Vor Suchlauf: 19 Verzeichnis(se), 24.996.454.400 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 24.989.646.848 Bytes frei

- - End Of File - - 247DD7DFB3E5EF5CF57C78C7C1E1251F

Zitat:

Wieder etwas gefunden

Was wurde von welchem Programm wo gefunden? Nur weil irgendwas gefunden wird, musst Du nicht gleich vom schlimmsten ausgehen. Ich muss Dich auch daran erinnern, dass wir mit OTL was gefixt haben und OTL legt Sicherheitskopien (auch von schädlichen Dateien!) in C:\_OTL ab!

OK vielen Dank! mit Combofix habe ich etwas gefunden. Ich lösche mal den OTL ordner und lasse Combofix nochmal durchlaufen.

Hallo?! Bitte CF nicht beliebig oft ausführen! Du solltest es nur genau 1x ausführen!

Mach bitte lieber Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!