Ungewünschte Internetseite öffnet sich und will runterladen

Kandeez · 03.05.2010, 19:51

Hallo erstmal.
Also wie schon gesagt, ich war normal am surfen, da öffnete sich ein neuer Tab (Firefox 3.5) und fing an etwas runterzuladen. Vor 2 Tagen hatte ich mal Malwaredoctor (Von selbst runtergeladen,habe nichts gemacht) auf dem PC.
Später kam auch dieser komischer ArManager.
Die habe ich mit Malwarebyte´s AntiMalware und HijackThis geöscht. Nun habe ich angst,dass ich noch mal so ein Programm auf den Rechner bekomme.
Als sich die Internetseite öffnete, wollte sich ein Programm runterladen.
Ich musste firefox.exe durch den Taskmanager beenden.

Hier mein HijackThis LogFile

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49:38, on 03.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WinGate\WinGate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\WinGate\wgengmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Pinyin IME Migration] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME12L~1\imesc\IMSCMig.exe /INSTALL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GamersFirst LIVE!.lnk = C:\Programme\GamersFirst\LIVE!\Live.exe
O4 - Global Startup: WinGate Engine Monitor.lnk = C:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - hxxp://dl.tvunetworks.com/TVUAx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFF01A07-5720-42D8-9AB7-EB92EC6C5A7F}: NameServer = 62.220.18.38 89.246.64.38
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Qbik Software NZ Ltd - C:\Programme\WinGate\WinGate.exe

--
End of file - 8008 bytes

Ich hatte auch heute um ca. 14-15.30 Uhr ein Antivir Systemprüfung gemacht.
Soll ich das Ergebnis auch posten,oder reicht HijackThis Logfile erst einmal?
Danke vielmals.
Edit://
Die Internetseiten öffnen sich aber nicht sehr oft. Nur 1mal in 2Std. ca.
Mit freundlichen Grüßen

cosinus · 03.05.2010, 20:48

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Kandeez · 04.05.2010, 17:52

Sry...........

Kandeez · 04.05.2010, 17:53

SRY!!!!
wenn ich lämgere beiträge schreibe,akzeptiert der server sie nicht

Kandeez · 04.05.2010, 17:59

otl logfile

Zitat:

otl logfile created on: 04.05.2010 16:53:33 - run 1
otl by oldtimer - version 3.2.4.1 folder = c:\dokumente und einstellungen\****\eigene dateien\downloads
windows xp professional edition service pack 3 (version = 5.1.2600) - type = ntworkstation
internet explorer (version = 6.0.2900.2180)
locale: 00000407 | country: Deutschland | language: Deu | date format: Dd.mm.yyyy

495,00 mb total physical memory | 101,00 mb available physical memory | 20,00% memory free
1,00 gb paging file | 1,00 gb available in paging file | 48,00% paging file free
paging file location(s): C:\pagefile.sys 744 1488 [binary data]

%systemdrive% = c: | %systemroot% = c:\windows | %programfiles% = c:\programme
drive c: | 29,29 gb total space | 2,51 gb free space | 8,55% space free | partition type: Ntfs
drive d: | 45,23 gb total space | 20,64 gb free space | 45,64% space free | partition type: Ntfs
drive e: | 80,61 mb total space | 0,00 mb free space | 0,00% space free | partition type: Cdfs
f: Drive not present or media not loaded
g: Drive not present or media not loaded
h: Drive not present or media not loaded
i: Drive not present or media not loaded

computer name: ****
current user name: ****
logged in as administrator.

Current boot mode: Normal
scan mode: Current user
company name whitelist: Off
skip microsoft files: Off
file age = 30 days
output = minimal

========== processes (safelist) ==========

prc - c:\dokumente und einstellungen\****\eigene dateien\downloads\otl.exe (oldtimer tools)
prc - c:\programme\malwarebytes' anti-malware\mbam.exe (malwarebytes corporation)
prc - c:\programme\mozilla firefox\firefox.exe (mozilla corporation)
prc - c:\programme\google\update\1.2.183.23\googlecrashhandler.exe (google inc.)
prc - c:\programme\avira\antivir personaledition classic\sched.exe (avira gmbh)
prc - c:\programme\avira\antivir personaledition classic\avguard.exe (avira gmbh)
prc - c:\programme\asus\wlan card utilities\center.exe (asustek computer inc.)
prc - c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (google inc.)
prc - c:\programme\avira\antivir personaledition classic\avgnt.exe (avira gmbh)
prc - c:\programme\wingate\wingate.exe (qbik software nz ltd)
prc - c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
prc - c:\programme\lexmark 1200 series\lxczbmon.exe (lexmark international, inc.)
prc - c:\programme\lexmark 1200 series\lxczbmgr.exe (lexmark international, inc.)
prc - c:\windows\explorer.exe (microsoft corporation)

========== modules (safelist) ==========

mod - c:\dokumente und einstellungen\****\eigene dateien\downloads\otl.exe (oldtimer tools)
mod - c:\windows\system32\msscript.ocx (microsoft corporation)

========== win32 services (safelist) ==========

srv - (antivirscheduler) -- c:\programme\avira\antivir personaledition classic\sched.exe (avira gmbh)
srv - (antivirservice) -- c:\programme\avira\antivir personaledition classic\avguard.exe (avira gmbh)
srv - (wingateengine) -- c:\programme\wingate\wingate.exe (qbik software nz ltd)
srv - (ose) -- c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe (microsoft corporation)
srv - (netsvc) -- c:\programme\intel\ncs\sync\netsvc.exe (intel(r) corporation)

========== driver services (safelist) ==========

drv - (mbamswissarmy) -- c:\windows\system32\drivers\mbamswissarmy.sys (malwarebytes corporation)
drv - (esgiguard) -- c:\programme\enigma software group\spyhunter\esgiguard.sys ()
drv - (sptd) -- c:\windows\system32\drivers\sptd.sys ()
drv - (hamachi) -- c:\windows\system32\drivers\hamachi.sys (logmein, inc.)
drv - (mdc8021x) aegis protocol (ieee 802.1x) -- c:\windows\system32\drivers\mdc8021x.sys (meetinghouse data communications)
drv - (avipbb) -- c:\windows\system32\drivers\avipbb.sys (avira gmbh)
drv - (avgntflt) -- c:\programme\avira\antivir personaledition classic\avgntflt.sys (avira gmbh)
drv - (avgio) -- c:\programme\avira\antivir personaledition classic\avgio.sys (avira gmbh)
drv - (oreans32) -- c:\windows\system32\drivers\oreans32.sys ()
drv - (screamingbdriver) -- c:\windows\system32\drivers\screamingbaudio.sys (screaming bee llc)
drv - (tapvpn) -- c:\windows\system32\drivers\tapvpn.sys (the openvpn project)
drv - (rt73) -- c:\windows\system32\drivers\rt73.sys (ralink technology, corp.)
drv - (ssmdrv) -- c:\windows\system32\drivers\ssmdrv.sys (avira gmbh)
drv - (fwlanusb) -- c:\windows\system32\drivers\fwlanusb.sys (avm gmbh)
drv - (avmeject) -- c:\windows\system32\drivers\avmeject.sys (avm berlin)
drv - (rtl8139) nt-treiber für realtek rtl8139(a/b/c) -- c:\windows\system32\drivers\rtl8139.sys (realtek semiconductor corporation)
drv - (nwlnkipx) -- c:\windows\system32\drivers\nwlnkipx.sys (microsoft corporation)
drv - (viaudio) vinyl ac'97 audio controller (wdm) -- c:\windows\system32\drivers\vinyl97.sys (via technologies, inc.)
drv - (syntp) -- c:\windows\system32\drivers\syntp.sys (synaptics, inc.)
drv - (conan) -- c:\windows\system32\drivers\o2mmb.sys (o2 micro )
drv - (mbxstby) -- c:\windows\system32\drivers\mbxstby.sys (o2 micro)
drv - (nal) -- c:\windows\system32\drivers\iqvw32.sys (intel corporation )
drv - (gnct511) -- c:\windows\system32\drivers\gnct511.sys ()
drv - (iansprotocol) intel(r) -- c:\windows\system32\drivers\ianswxp.sys (intel corporation)
drv - (iansminiport) intel(r) -- c:\windows\system32\drivers\ianswxp.sys (intel corporation)
drv - (asndis5) -- c:\windows\system32\asndis5.sys (printing communications assoc., inc. (pcausa))
drv - (nwlnknb) -- c:\windows\system32\drivers\nwlnknb.sys (microsoft corporation)
drv - (nwlnkspx) -- c:\windows\system32\drivers\nwlnkspx.sys (microsoft corporation)

========== standard registry (safelist) ==========

========== internet explorer ==========

ie - hklm\software\microsoft\internet explorer\main,default_page_url = about:blank
ie - hklm\software\microsoft\internet explorer\main,default_search_url = about:blank
ie - hklm\software\microsoft\internet explorer\main,local page = %systemroot%\system32\blank.htm
ie - hklm\software\microsoft\internet explorer\main,search page = about:blank
ie - hklm\software\microsoft\internet explorer\main,start page = about:blank

ie - hkcu\software\microsoft\internet explorer\main,search page = hxxp://www.google.com
ie - hkcu\software\microsoft\internet explorer\main,start page = hxxp://www.google.de/
ie - hkcu\..\urlsearchhook: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - reg error: Key error. File not found
ie - hkcu\software\microsoft\windows\currentversion\internet settings: "proxyenable" = 0
ie - hkcu\software\microsoft\windows\currentversion\internet settings: "proxyoverride" = local

ff - hklm\software\mozilla\firefox\extensions\\{000a9d1c-beef-4f90-9363-039d445309b8}: C:\programme\google\google gears\firefox\ [2010.03.06 11:40:59 | 000,000,000 | ---d | m]
ff - hklm\software\mozilla\mozilla firefox 3.6.3\extensions\\components: C:\programme\mozilla firefox\components [2010.04.27 18:49:50 | 000,000,000 | ---d | m]
ff - hklm\software\mozilla\mozilla firefox 3.6.3\extensions\\plugins: C:\programme\mozilla firefox\plugins [2010.04.27 15:50:57 | 000,000,000 | ---d | m]

[2010.05.03 15:56:42 | 000,000,000 | ---d | m] -- c:\programme\mozilla firefox\extensions
[2010.04.01 18:54:38 | 000,001,392 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\ebay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\yahoo-de.xml

o1 hosts file: ([2010.05.01 17:29:47 | 000,000,820 | ---- | m]) - c:\windows\system32\drivers\etc\hosts
o1 - hosts: 127.0.0.1 loc
o2 - bho: (adobe pdf link helper) - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelpershim.dll (adobe systems incorporated)
o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - no clsid value found.
O2 - bho: (windows live anmelde-hilfsprogramm) - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programme\gemeinsame dateien\microsoft shared\windows live\windowslivelogin.dll (microsoft corporation)
o2 - bho: (google toolbar helper) - {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\googletoolbar_32.dll (google inc.)
o2 - bho: (google toolbar notifier bho) - {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.4.4525.1752\swg.dll (google inc.)
o2 - bho: (google dictionary compression sdch) - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - c:\programme\google\google toolbar\component\fastsearch_b7c5ac242193bb3e.dll (google inc.)
o2 - bho: (google gears helper) - {e0fefe40-fbf9-42ae-ba58-794ca7e3fb53} - c:\programme\google\google gears\internet explorer\0.5.36.0\gears.dll (google inc.)
o3 - hklm\..\toolbar: (google toolbar) - {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\googletoolbar_32.dll (google inc.)
o3 - hkcu\..\toolbar\webbrowser: (google toolbar) - {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\googletoolbar_32.dll (google inc.)
o4 - hklm..\run: [adobe arm] c:\programme\gemeinsame dateien\adobe\arm\1.0\adobearm.exe (adobe systems incorporated)
o4 - hklm..\run: [arcor online] file not found
o4 - hklm..\run: [avgnt] c:\programme\avira\antivir personaledition classic\avgnt.exe (avira gmbh)
o4 - hklm..\run: [control center] c:\programme\asus\wlan card utilities\center.exe (asustek computer inc.)
o4 - hklm..\run: [imjpmig8.1] c:\windows\ime\imjp8_1\imjpmig.exe (microsoft corporation)
o4 - hklm..\run: [lexmark 1200 series] c:\programme\lexmark 1200 series\lxczbmgr.exe (lexmark international, inc.)
o4 - hklm..\run: [microsoft pinyin ime migration] c:\programme\gemeinsame dateien\microsoft shared\ime12lite\imesc\imscmig.exe (microsoft corporation)
o4 - hklm..\run: [mspy2002] c:\windows\system32\ime\pintlgnt\imscinst.exe ()
o4 - hklm..\run: [phime2002a] c:\windows\system32\ime\tintlgnt\tintsetp.exe (microsoft corporation)
o4 - hklm..\run: [phime2002async] c:\windows\system32\ime\tintlgnt\tintsetp.exe (microsoft corporation)
o4 - hklm..\run: [pronomgr.exe] c:\programme\intel\ncs\proset\pronomgr.exe (intel(r) corporation)
o4 - hklm..\run: [syntplpr] c:\programme\synaptics\syntp\syntplpr.exe (synaptics, inc.)
o4 - hkcu..\run: [swg] c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (google inc.)
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\gamersfirst live!.lnk = c:\programme\gamersfirst\live!\live.exe file not found
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\wingate engine monitor.lnk = c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
o6 - hklm\software\microsoft\windows\currentversion\policies\explorer: Honorautorunsetting = 1
o7 - hkcu\software\microsoft\windows\currentversion\policies\explorer: Nodrivetypeautorun = 145
o9 - extra 'tools' menuitem : &gears-einstellungen - {09c04da7-5b76-4ebc-bbee-b25eac5965f5} - c:\programme\google\google gears\internet explorer\0.5.36.0\gears.dll (google inc.)
o9 - extra button: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe (icq, llc.)
o9 - extra 'tools' menuitem : Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe (icq, llc.)
o10 - namespace_catalog5\catalog_entries\000000000004 [] - c:\windows\system32\nwprovau.dll (microsoft corporation)
o16 - dpf: {166b1bca-3f9c-11cf-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (shockwave activex control)
o16 - dpf: {3ea4fa88-e0be-419a-a732-9b79b87a6ed0} hxxp://dl.tvunetworks.com/tvuax.cab (ctvuaxctrl object)
o16 - dpf: {8ad9c840-044e-11d1-b3e9-00805f499d93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (java plug-in 1.6.0_12)
o16 - dpf: {8ffbe65d-2c9c-4669-84bd-5829dc0b603c} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (reg error: Key error.)
o16 - dpf: {cafeefac-0016-0000-0012-abcdeffedcba} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (java plug-in 1.6.0_12)
o16 - dpf: {cafeefac-ffff-ffff-ffff-abcdeffedcba} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (java plug-in 1.6.0_12)
o16 - dpf: {d27cdb6e-ae6d-11cf-96b8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (shockwave flash object)
o18 - protocol\handler\http\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\http\oledb {e1d2bf40-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\https\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\https\oledb {e1d2bf40-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\ipp\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\msdaipp\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\msdaipp\oledb {e1d2bf40-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\mso-offdap {3d9f03fa-7a94-11d3-be81-0050048385d1} - c:\programme\gemeinsame dateien\microsoft shared\web components\10\owc10.dll (microsoft corporation)
o18 - protocol\handler\mso-offdap11 {32505114-5902-49b2-880a-1f7738e5a384} - c:\programme\gemeinsame dateien\microsoft shared\web components\11\owc11.dll (microsoft corporation)
o18 - protocol\handler\wlmailhtml {03c514a3-1efb-4856-9f99-10d7be1653c0} - c:\programme\windows live\mail\mailcomm.dll (microsoft corporation)
o18 - protocol\filter\text/xml {807553e5-5146-11d5-a672-00b0d022e945} - c:\programme\gemeinsame dateien\microsoft shared\office11\msoxmlmf.dll (microsoft corporation)
o20 - hklm winlogon: Shell - (explorer.exe) - c:\windows\explorer.exe (microsoft corporation)
o20 - winlogon\notify\igfxcui: Dllname - igfxsrvc.dll - c:\windows\system32\igfxsrvc.dll (intel corporation)
o24 - desktop components:0 (die derzeitige homepage) - about:home
o24 - desktop wallpaper: C:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\microsoft\wallpaper1.bmp
o24 - desktop backupwallpaper: C:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\microsoft\wallpaper1.bmp
o30 - lsa: Authentication packages - (nwprovau) - c:\windows\system32\nwprovau.dll (microsoft corporation)
o32 - hklm cdrom: Autorun - 1
o32 - autorun file - [2008.10.06 13:01:44 | 000,000,000 | ---- | m] () - c:\autoexec.bat -- [ ntfs ]
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\autorun\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\open\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun - "" = auto&play
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun\command - "" = h:\autorun.exe -- file not found
o34 - hklm bootexecute: (autocheck autochk *) - file not found
o35 - hklm\..comfile [open] -- "%1" %*
o35 - hklm\..exefile [open] -- "%1" %*
o37 - hklm\...com [@ = comfile] -- "%1" %*
o37 - hklm\...exe [@ = exefile] -- "%1" %*

========== files/folders - created within 30 days ==========

file not found -- c:\dokumente und einstellungen\****\desktop\carg9bf4.
File not found -- c:\dokumente und einstellungen\****\desktop\caifwtuj.
[2010.05.01 17:03:55 | 000,000,000 | ---d | c] -- c:\sh4ldr
[2010.05.01 17:03:55 | 000,000,000 | ---d | c] -- c:\programme\enigma software group
[2010.05.01 17:02:49 | 000,000,000 | ---d | c] -- c:\windows\61d3aae1d5214cd7939b37813de8f955.tmp
[2010.05.01 17:02:21 | 000,000,000 | ---d | c] -- c:\programme\gemeinsame dateien\wise installation wizard
[2010.04.30 13:29:05 | 000,000,000 | ---d | c] -- c:\dokumente und einstellungen\all users\anwendungsdaten\sectaskman
[2010.04.27 15:26:43 | 000,081,920 | ---- | c] (mozilla foundation) -- c:\dokumente und einstellungen\****\desktop\nssutil3.dll
[2010.04.19 22:00:46 | 000,000,000 | r-sd | c] -- c:\dokumente und einstellungen\****\eigene dateien\my stationery
[2010.04.15 11:09:15 | 000,000,000 | ---d | c] -- c:\dokumente und einstellungen\****\desktop\cocuk odasi
[2010.04.14 14:43:14 | 000,000,000 | ---d | c] -- c:\windows\system32\ntmsdata
[2010.04.06 11:41:38 | 000,000,000 | ---d | c] -- c:\dokumente und einstellungen\****\desktop\olcays
[2009.07.14 19:40:39 | 000,049,152 | ---- | c] ( ) -- c:\windows\system32\rsnct511.dll
[5 c:\windows\*.tmp files -> c:\windows\*.tmp -> ]
[1 c:\windows\system32\*.tmp files -> c:\windows\system32\*.tmp -> ]

========== files - modified within 30 days ==========

file not found -- c:\dokumente und einstellungen\****\desktop\carg9bf4.
File not found -- c:\dokumente und einstellungen\****\desktop\caifwtuj.
[2010.05.04 17:19:19 | 000,823,808 | ---- | m] () -- c:\windows\system32\drivers\kogxewfi.sys
[2010.05.04 17:15:01 | 000,000,282 | -h-- | m] () -- c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job
[2010.05.04 16:45:21 | 000,001,088 | ---- | m] () -- c:\windows\tasks\googleupdatetaskmachineua.job
[2010.05.04 15:45:05 | 000,001,084 | ---- | m] () -- c:\windows\tasks\googleupdatetaskmachinecore.job
[2010.05.04 15:44:39 | 000,001,044 | ---- | m] () -- c:\windows\tasks\google software updater.job
[2010.05.04 14:43:57 | 000,000,400 | ---- | m] () -- c:\windows\tasks\pcconfidential.job
[2010.05.04 14:43:50 | 000,000,006 | -h-- | m] () -- c:\windows\tasks\sa.dat
[2010.05.04 14:43:42 | 000,002,048 | --s- | m] () -- c:\windows\bootstat.dat
[2010.05.04 08:23:04 | 000,000,300 | -hs- | m] () -- c:\dokumente und einstellungen\****\ntuser.ini
[2010.05.04 08:23:03 | 007,340,032 | -h-- | m] () -- c:\dokumente und einstellungen\****\ntuser.dat
[2010.05.04 08:22:55 | 002,530,852 | -h-- | m] () -- c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\iconcache.db
[2010.05.02 14:00:32 | 000,004,225 | ---- | m] () -- c:\dokumente und einstellungen\****\.recently-used.xbel
[2010.05.02 13:34:12 | 000,000,254 | ---- | m] () -- c:\windows\lexstat.ini
[2010.05.02 13:22:57 | 000,010,752 | ---- | m] () -- c:\dokumente und einstellungen\****\desktop\neu microsoft word-dokument (2).doc
[2010.05.01 17:45:11 | 000,000,676 | ---- | m] () -- c:\dokumente und einstellungen\all users\desktop\malwarebytes' anti-malware.lnk
[2010.05.01 17:04:05 | 000,001,953 | ---- | m] () -- c:\dokumente und einstellungen\****\desktop\spyhunter.lnk
[2010.05.01 10:21:37 | 000,002,206 | ---- | m] () -- c:\windows\system32\wpa.dbl
[2010.04.29 18:18:57 | 000,088,576 | ---- | m] () -- c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\dcbc2a71-70d8-4dan-ehr8-e0d61dea3fdf.ini
[2010.04.29 15:39:38 | 000,038,224 | ---- | m] (malwarebytes corporation) -- c:\windows\system32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | m] (malwarebytes corporation) -- c:\windows\system32\drivers\mbam.sys
[2010.04.27 15:51:09 | 000,001,566 | ---- | m] () -- c:\dokumente und einstellungen\all users\desktop\mozilla firefox.lnk
[2010.04.27 15:28:48 | 000,081,920 | ---- | m] (mozilla foundation) -- c:\dokumente und einstellungen\****\desktop\nssutil3.dll
[2010.04.25 14:48:33 | 000,000,612 | ---- | m] () -- c:\dokumente und einstellungen\****\desktop\verknüpfung mit versateldsl.lnk
[2010.04.20 21:27:37 | 000,000,600 | ---- | m] () -- c:\dokumente und einstellungen\****\putty.rnd
[2010.04.15 20:55:30 | 000,001,887 | ---- | m] () -- c:\dokumente und einstellungen\all users\desktop\google earth.lnk
[2010.04.11 11:42:35 | 000,033,494 | ---- | m] () -- c:\dokumente und einstellungen\****\eigene dateien\mahadma.jpg
[5 c:\windows\*.tmp files -> c:\windows\*.tmp -> ]
[1 c:\windows\system32\*.tmp files -> c:\windows\system32\*.tmp -> ]

========== files created - no company name ==========

[2010.05.02 14:00:32 | 000,004,225 | ---- | c] () -- c:\dokumente und einstellungen\****\.recently-used.xbel
[2010.05.02 13:22:53 | 000,010,752 | ---- | c] () -- c:\dokumente und einstellungen\****\desktop\neu microsoft word-dokument (2).doc
[2010.05.01 17:45:11 | 000,000,676 | ---- | c] () -- c:\dokumente und einstellungen\all users\desktop\malwarebytes' anti-malware.lnk
[2010.05.01 17:04:05 | 000,001,953 | ---- | c] () -- c:\dokumente und einstellungen\****\desktop\spyhunter.lnk
[2010.05.01 16:59:35 | 000,000,282 | -h-- | c] () -- c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job
[2010.05.01 16:57:24 | 000,823,808 | ---- | c] () -- c:\windows\system32\drivers\kogxewfi.sys
[2010.04.27 15:51:09 | 000,001,566 | ---- | c] () -- c:\dokumente und einstellungen\all users\desktop\mozilla firefox.lnk
[2010.04.22 13:02:10 | 000,000,612 | ---- | c] () -- c:\dokumente und einstellungen\****\desktop\verknüpfung mit versateldsl.lnk
[2010.04.15 20:55:30 | 000,001,887 | ---- | c] () -- c:\dokumente und einstellungen\all users\desktop\google earth.lnk
[2010.04.07 15:58:18 | 000,033,494 | ---- | c] () -- c:\dokumente und einstellungen\****\eigene dateien\mahadma.jpg
[2010.03.07 15:17:56 | 000,000,084 | ---- | c] () -- c:\windows\dellstat.ini
[2010.03.07 15:17:52 | 000,000,254 | ---- | c] () -- c:\windows\lexstat.ini
[2010.03.07 15:09:44 | 000,040,960 | ---- | c] () -- c:\windows\system32\lxczvs.dll
[2010.03.07 15:09:07 | 000,000,270 | ---- | c] () -- c:\windows\system32\lxczcoin.ini
[2010.02.12 21:44:15 | 000,069,632 | r--- | c] () -- c:\windows\system32\xmltok.dll
[2010.02.12 21:44:15 | 000,036,864 | r--- | c] () -- c:\windows\system32\xmlparse.dll
[2010.01.09 22:25:01 | 000,197,120 | ---- | c] () -- c:\windows\patchw32.dll
[2010.01.09 21:53:41 | 000,691,696 | ---- | c] () -- c:\windows\system32\drivers\sptd.sys
[2009.07.14 19:44:12 | 000,229,376 | ---- | c] () -- c:\windows\system32\drivers\gnct511.sys
[2009.07.14 19:44:12 | 000,061,440 | ---- | c] () -- c:\windows\system32\dgnct511.dll
[2009.07.14 19:44:12 | 000,036,864 | ---- | c] () -- c:\windows\system32\vgnct511.dll
[2009.07.14 19:44:12 | 000,015,542 | ---- | c] () -- c:\windows\gnct511.ini
[2009.07.14 19:40:39 | 000,219,904 | ---- | c] () -- c:\windows\system32\drivers\snct511.sys
[2009.07.14 19:40:39 | 000,061,440 | ---- | c] () -- c:\windows\system32\dsnct511.dll
[2009.07.14 19:40:39 | 000,032,768 | ---- | c] () -- c:\windows\system32\vsnct511.dll
[2009.07.14 19:40:39 | 000,015,541 | ---- | c] () -- c:\windows\snct511.ini
[2009.05.27 12:52:11 | 000,765,952 | ---- | c] () -- c:\windows\system32\xvidcore.dll
[2009.05.27 12:52:11 | 000,383,238 | ---- | c] () -- c:\windows\system32\libmp3lame-0.dll
[2009.05.01 14:57:34 | 000,027,440 | ---- | c] () -- c:\windows\system32\drivers\secdrv.sys
[2009.04.29 16:48:27 | 000,033,824 | ---- | c] () -- c:\windows\system32\drivers\oreans32.sys
[2009.03.26 11:07:44 | 000,059,904 | ---- | c] () -- c:\windows\system32\zlib1.dll
[2009.03.26 11:03:28 | 000,286,720 | ---- | c] () -- c:\windows\system32\libcurl.dll
[2009.03.26 11:03:10 | 000,143,360 | ---- | c] () -- c:\windows\system32\libexpatw.dll
[2009.02.25 20:55:53 | 004,762,112 | ---- | c] () -- c:\windows\system32\ncmedia.dll
[2008.12.25 13:45:18 | 001,970,176 | ---- | c] () -- c:\windows\system32\d3dx9.dll
[2008.11.19 18:25:07 | 000,000,848 | -hs- | c] () -- c:\windows\system32\kgygaavl.sys
[2008.11.10 16:27:31 | 000,208,896 | ---- | c] () -- c:\windows\system32\wgsrvins.dll
[2008.10.29 11:01:53 | 000,000,400 | ---- | c] () -- c:\windows\odbc.ini
[2008.10.29 10:42:39 | 000,015,360 | ---- | c] () -- c:\windows\system32\bassmod.dll
[2008.10.27 20:03:29 | 000,027,648 | ---- | c] () -- c:\windows\system32\avsredirect.dll
[2008.10.06 13:20:24 | 000,077,824 | ---- | c] () -- c:\windows\system32\syntpcoi.dll
[2008.10.06 13:19:07 | 000,036,864 | ---- | c] () -- c:\windows\system32\unaudiont.dll
[2005.10.10 14:00:00 | 000,005,702 | ---- | c] () -- c:\windows\system32\outlperf.ini
[2005.04.28 06:22:38 | 003,596,288 | ---- | c] () -- c:\windows\system32\qt-dx331.dll
[2004.03.17 10:29:20 | 000,011,776 | ---- | c] () -- c:\windows\system32\wlan.ini
[2002.12.04 10:57:00 | 000,651,264 | ---- | c] () -- c:\windows\system32\libeay32.dll
[2002.12.04 10:57:00 | 000,147,456 | ---- | c] () -- c:\windows\system32\ssleay32.dll

========== alternate data streams ==========

@alternate data stream - 11306 bytes -> c:\windows\system32:system32
< end of report >

Kandeez · 04.05.2010, 18:04

OTL EXTRAS kann ich nicht posten, da der server bei längeren beiträgen streikt..

Kandeez · 04.05.2010, 18:17

Malwarebytes

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4057

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

04.05.2010 18:46:24
mbam-log-2010-05-04 (18-46-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 253187
Laufzeit: 2 Stunde(n), 49 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\koray\Anwendungsdaten\DC8B5188B186DF699FA628CE8B5C3020\gotnewupdate.exe (Malware.Packer.Gen) -> No action taken.
C:\Dokumente und Einstellungen\koray\Desktop\ALLLLEEESS\Cheat Engine\Systemcallretriever.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\koray\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D8BE33T3\kkemu[1].htm (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\koray\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPK28JXF\gotnewupdate[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Dokumente und Einstellungen\koray\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TEZH12SQ\hypwhc[1].htm (Trojan.Downloader) -> No action taken.
C:\Programme\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{0174EE62-28C7-406E-A6FC-A997B2FF5696}\RP428\A0090392.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\drivers\kogxewfi.sys (Rootkit.Agent) -> No action taken.

cosinus · 04.05.2010, 20:48

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Den unkenntlich gemachten Benutzernamen wieder in den richtigen zurückeditieren, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
prc - c:\programme\wingate\wingate.exe (qbik software nz ltd)
prc - c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
srv - (wingateengine) -- c:\programme\wingate\wingate.exe (qbik software nz ltd)
drv - (oreans32) -- c:\windows\system32\drivers\oreans32.sys ()
o4 - hklm..\run: [arcor online] file not found
o4 - hkcu..\run: [swg] c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (google inc.)
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\gamersfirst live!.lnk = c:\programme\gamersfirst\live!\live.exe file not found
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\wingate engine monitor.lnk = c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
o32 - autorun file - [2008.10.06 13:01:44 | 000,000,000 | ---- | m] () - c:\autoexec.bat -- [ ntfs ]
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\autorun\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\open\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun - "" = auto&play
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun\command - "" = h:\autorun.exe -- file not found
[2010.05.04 17:19:19 | 000,823,808 | ---- | m] () -- c:\windows\system32\drivers\kogxewfi.sys
[2010.05.04 17:15:01 | 000,000,282 | -h-- | m] () -- c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job
:Files
c:\dokumente und einstellungen\****\desktop\carg9bf4
c:\dokumente und einstellungen\****\desktop\caifwtuj
c:\windows\61d3aae1d5214cd7939b37813de8f955.tmp
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Kandeez · 05.05.2010, 13:45

All processes killed
========== OTL ==========
File move failed. C:\WINDOWS\system32\drivers\kogxewfi.sys scheduled to be moved on reboot.
c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job moved successfully.
========== FILES ==========
File\Folder c:\dokumente und einstellungen\****\desktop\carg9bf4 not found.
File\Folder c:\dokumente und einstellungen\****\desktop\caifwtuj not found.
c:\windows\61D3AAE1D5214CD7939B37813DE8F955.TMP folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: ***
->Temp folder emptied: 2040847467 bytes
->Temporary Internet Files folder emptied: 122341686 bytes
->Java cache emptied: 80479365 bytes
->FireFox cache emptied: 90044616 bytes
->Google Chrome cache emptied: 6279166 bytes
->Flash cache emptied: 472253 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4069312 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2162289 bytes
->Flash cache emptied: 1952 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 111559742 bytes
RecycleBin emptied: 1461295102 bytes

Total Files Cleaned = 3.740,00 mb

OTL by OldTimer - Version 3.2.4.1 log created on 05052010_143420

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\kogxewfi.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus · 05.05.2010, 15:54

So, dann gehts weiter mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kandeez · 05.05.2010, 18:42

Naja ich weiss nicht ob mich jetzt unbedingt traue dieses gefährliche programm zu benutzen..

cosinus · 06.05.2010, 10:18

Halt Dich einfach streng an die Anleitung, dann passiert nichts...

Kandeez · 06.05.2010, 13:42

Naja schauen wir mal.
An dieser Stelle bedanke ich mich herzlich bei cosinus,vielen dank für die hilfe+aufmerksamkeit.

Das Forum ist weiter zu empfehlen!

06.05.2010, 10:18	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Ungewünschte Internetseite öffnet sich und will runterladen Halt Dich einfach streng an die Anleitung, dann passiert nichts... __________________ Logfiles bitte immer in CODE-Tags posten

Ungewünschte Internetseite öffnet sich und will runterladen

Log-Analyse und Auswertung: Ungewünschte Internetseite öffnet sich und will runterladen