Hallo zusammen,

bin gerade am Säubern eines Rechners und habe schon so einiges mit Avira's AV, Spybot SD, ComboFix und Malwarebytes erledigt.
Allerdings habe ich erhebliche Zweifel, ob ich schon alles erwischt habe. Insbesondere der Taskman erscheint immer wieder im Autostart und möchte eine nichtvorhandene exe aus dem Papierkorb starten.

Hier der Scan von Avira:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 16. Mai 2010  14:29

Es wird nach 2118977 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : ***
Computername   : **

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:00:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 13:00:52
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 21:12:59
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 21:14:30
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 06:57:17
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 12:25:07
VBASE006.VDF   : 7.10.6.83       2048 Bytes  15.04.2010 12:25:07
VBASE007.VDF   : 7.10.6.84       2048 Bytes  15.04.2010 12:25:07
VBASE008.VDF   : 7.10.6.85       2048 Bytes  15.04.2010 12:25:08
VBASE009.VDF   : 7.10.6.86       2048 Bytes  15.04.2010 12:25:08
VBASE010.VDF   : 7.10.6.87       2048 Bytes  15.04.2010 12:25:08
VBASE011.VDF   : 7.10.6.88       2048 Bytes  15.04.2010 12:25:08
VBASE012.VDF   : 7.10.6.89       2048 Bytes  15.04.2010 12:25:08
VBASE013.VDF   : 7.10.6.90       2048 Bytes  15.04.2010 12:25:08
VBASE014.VDF   : 7.10.6.123    126464 Bytes  19.04.2010 12:25:08
VBASE015.VDF   : 7.10.6.152    123392 Bytes  21.04.2010 12:25:09
VBASE016.VDF   : 7.10.6.178    122880 Bytes  22.04.2010 12:25:09
VBASE017.VDF   : 7.10.6.206    120320 Bytes  26.04.2010 12:25:10
VBASE018.VDF   : 7.10.6.232     99328 Bytes  28.04.2010 12:25:11
VBASE019.VDF   : 7.10.7.2      155648 Bytes  30.04.2010 12:25:11
VBASE020.VDF   : 7.10.7.26     119808 Bytes  04.05.2010 12:25:12
VBASE021.VDF   : 7.10.7.51     118272 Bytes  06.05.2010 12:25:13
VBASE022.VDF   : 7.10.7.75     404992 Bytes  10.05.2010 12:25:14
VBASE023.VDF   : 7.10.7.100    125440 Bytes  13.05.2010 12:25:14
VBASE024.VDF   : 7.10.7.101      2048 Bytes  13.05.2010 12:25:14
VBASE025.VDF   : 7.10.7.102      2048 Bytes  13.05.2010 12:25:14
VBASE026.VDF   : 7.10.7.103      2048 Bytes  13.05.2010 12:25:14
VBASE027.VDF   : 7.10.7.104      2048 Bytes  13.05.2010 12:25:14
VBASE028.VDF   : 7.10.7.105      2048 Bytes  13.05.2010 12:25:14
VBASE029.VDF   : 7.10.7.106      2048 Bytes  13.05.2010 12:25:15
VBASE030.VDF   : 7.10.7.107      2048 Bytes  13.05.2010 12:25:15
VBASE031.VDF   : 7.10.7.111     68096 Bytes  14.05.2010 12:25:15
Engineversion  : 8.2.1.242 
AEVDF.DLL      : 8.1.2.0       106868 Bytes  16.05.2010 12:25:27
AESCRIPT.DLL   : 8.1.3.29     1343866 Bytes  16.05.2010 12:25:27
AESCN.DLL      : 8.1.6.1       127347 Bytes  16.05.2010 12:25:25
AESBX.DLL      : 8.1.3.1       254324 Bytes  16.05.2010 12:25:27
AERDL.DLL      : 8.1.4.6       541043 Bytes  16.05.2010 12:25:25
AEPACK.DLL     : 8.2.1.1       426358 Bytes  23.03.2010 20:26:44
AEOFFICE.DLL   : 8.1.1.0       201081 Bytes  16.05.2010 12:25:24
AEHEUR.DLL     : 8.1.1.27     2670967 Bytes  16.05.2010 12:25:23
AEHELP.DLL     : 8.1.11.3      242039 Bytes  05.04.2010 20:40:54
AEGEN.DLL      : 8.1.3.9       377203 Bytes  16.05.2010 12:25:17
AEEMU.DLL      : 8.1.2.0       393588 Bytes  16.05.2010 12:25:16
AECORE.DLL     : 8.1.15.3      192886 Bytes  16.05.2010 12:25:16
AEBB.DLL       : 8.1.1.0        53618 Bytes  16.05.2010 12:25:15
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Sonntag, 16. Mai 2010  14:29

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
c:\dokume~1\***\lokale~1\temp\wpm1.tmp
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp
    [HINWEIS]   Der Prozess ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4fc24860.qua erstellt ( QUARANTÄNE )

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'quotoupyr.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'quotoupyr.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPM1.tmp' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess '81414.exe' - '24' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\81414.exe>
    [FUND]      Ist das Trojanische Pferd TR/Drop.Vidro.XR
    [HINWEIS]   Prozess '81414.exe' wurde beendet
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '057d32db.qua' verschoben!
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess '81414.exe' - '10' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\81414.exe>
    [FUND]      Ist das Trojanische Pferd TR/Drop.Vidro.XR
    [HINWEIS]   Prozess '81414.exe' wurde beendet
    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
    [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
    [WARNUNG]   Die Datei existiert nicht!
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'HsMgr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'htpatch.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBDLM.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LckFldService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '397' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100516-142857-6F24D01A\ARK4.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Vidro.XR
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IYQNUY2C\31[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Vidro.XR

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IYQNUY2C\31[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Vidro.XR
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26a74c66.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100516-142857-6F24D01A\ARK4.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Vidro.XR
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59cc7e26.qua' verschoben!


Ende des Suchlaufs: Sonntag, 16. Mai 2010  16:20
Benötigte Zeit:  1:40:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   9073 Verzeichnisse wurden überprüft
 383142 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 383138 Dateien ohne Befall
   2537 Archive wurden durchsucht
      2 Warnungen
      4 Hinweise
 425368 Objekte wurden beim Rootkitscan durchsucht
      3 Versteckte Objekte wurden gefunden
         

ComboFix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-05-15.03 - *** 16.05.2010  19:13:21.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1535.803 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\All Users\Dokumente\Settings\cbss.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\oabws.exe
c:\dokumente und einstellungen\***\ctfmon.exe
c:\windows\system32\chxd600870.exe
c:\windows\system32\ggwxc81o.exe
M:\autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2010-04-16 bis 2010-05-16  ))))))))))))))))))))))))))))))
.

2010-05-16 17:04 . 2010-05-16 17:04	--------	d-----w-	c:\programme\CCleaner
2010-05-16 12:23 . 2010-05-16 12:21	315904	----a-w-	c:\windows\system32\fookemmo.exe
2010-05-16 12:23 . 2010-05-16 12:23	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
2010-05-16 12:21 . 2010-05-16 12:21	315904	----a-w-	c:\windows\system32\quiri.exe
2010-05-16 11:12 . 2010-05-16 17:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-16 11:12 . 2010-05-16 12:20	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-05-06 13:41 . 2010-05-06 13:41	--------	d-----w-	c:\programme\ConTEXT
2010-05-06 13:34 . 2010-05-06 13:35	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\TransMemory_Secure
2010-05-06 13:34 . 2005-05-31 19:19	999424	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\TransMemory_Secure\TransMemory_Secure.exe
2010-05-05 16:01 . 2008-04-14 02:22	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-05-05 12:52 . 2010-05-05 12:52	--------	d-----w-	c:\programme\Monitor Calibration Wizard
2010-05-03 09:05 . 2010-05-03 09:05	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-02 19:29 . 2010-05-02 19:29	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Amazon
2010-05-02 19:28 . 2010-05-02 19:28	--------	d-----w-	c:\programme\Amazon

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 11:10 . 2006-04-23 11:06	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Lavasoft
2010-05-03 09:05 . 2008-03-09 14:45	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-03-28 20:51 . 2001-08-23 12:00	85530	----a-w-	c:\windows\system32\perfc007.dat
2010-03-28 20:51 . 2001-08-23 12:00	461976	----a-w-	c:\windows\system32\perfh007.dat
2010-03-26 14:46 . 2006-01-15 16:20	76488	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-23 20:26 . 2008-08-20 15:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2010-03-15 19:40 . 2010-03-15 19:40	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\msvcp71.dll
2010-03-15 19:40 . 2010-03-15 19:40	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\jmc.dll
2010-03-15 19:40 . 2010-03-15 19:40	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\msvcr71.dll
2010-03-15 19:40 . 2010-03-15 19:40	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-24ecc482-n\decora-sse.dll
2010-03-15 19:40 . 2010-03-15 19:40	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-24ecc482-n\decora-d3d.dll
2010-03-10 15:00 . 2010-03-10 15:00	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-10 06:15 . 2001-08-23 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-03-09 15:03 . 2010-03-09 14:55	31651	----a-w-	c:\windows\DIIUnin.dat
2010-03-09 14:55 . 2010-03-09 14:55	2829	----a-w-	c:\windows\DIIUnin.pif
2010-03-09 14:55 . 2010-03-09 14:55	102400	----a-w-	c:\windows\DIIUnin.exe
2010-03-01 08:05 . 2009-05-11 22:00	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:15 . 2001-08-23 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-23 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:04 . 2001-08-23 12:00	2192256	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2001-08-18 04:28	2069120	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-02-16 12:24 . 2009-05-11 22:00	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2006-06-10 12:51 . 2006-06-10 12:51	774144	----a-w-	c:\programme\RngInterstitial.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]
"D-Link AirPlus G DWL-G510"="c:\programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe" [2008-10-20 1556480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-05-11 22:12	49152	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.05.2009 00:00 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [05.01.2007 20:45 8768]
R2 USBDLM;USBDLM;c:\programme\USB Drive Manager\USBDLM\USBDLM.exe [28.11.2009 13:41 226304]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [03.10.2005 15:27 37568]
R3 cmudaxp;ASUS Xonar D1 Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [28.08.2009 11:39 2029888]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [03.10.2005 15:27 444416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\or0csrcn.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-ALUAlert - c:\programme\Symantec\LiveUpdate\ALUNotify.exe
MSConfigStartUp-awhmxo - c:\windows\system32\ggwxc81o.exe
MSConfigStartUp-xytzu6q - c:\windows\system32\chxd600870.exe
AddRemove-Folder Access 2.1 Free Version - c:\dokume~1\***\EIGENE~1\FOLDER~1\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-16 19:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?C?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[ 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3216)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-16  19:29:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-05-16 17:29

Vor Suchlauf: 6.513.999.872 Bytes frei
Nach Suchlauf: 6.614.122.496 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 0325D458B9366B8DB56FD7C071A65EF4
         

GMER:

HTML-Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-17 09:50:35
Windows 5.1.2600 Service Pack 3
Running: xl0jkyxq.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\axtdrpow.sys


---- System - GMER 1.0.15 ----

SSDT            BA2C389E                                                                                                                         ZwCreateKey
SSDT            BA2C3894                                                                                                                         ZwCreateThread
SSDT            BA2C38A3                                                                                                                         ZwDeleteKey
SSDT            BA2C38AD                                                                                                                         ZwDeleteValueKey
SSDT            BA2C38B2                                                                                                                         ZwLoadKey
SSDT            BA2C3880                                                                                                                         ZwOpenProcess
SSDT            BA2C3885                                                                                                                         ZwOpenThread
SSDT            BA2C38BC                                                                                                                         ZwReplaceKey
SSDT            BA2C38B7                                                                                                                         ZwRestoreKey
SSDT            BA2C38A8                                                                                                                         ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                                                         section is writeable [0xB9214360, 0x372FAD, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                                           section is writeable [0xB721E300, 0x3ACC8, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                                           section is writeable [0xF77C7300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\Explorer.EXE[144] ole32.dll!CoCreateInstanceEx                                                                        774D0526 5 Bytes  JMP 02209000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\Explorer.EXE[144] ole32.dll!CoCreateInstance                                                                          774D057E 5 Bytes  JMP 02208F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\system32\wscntfy.exe[1200] ole32.dll!CoCreateInstanceEx                                                               774D0526 5 Bytes  JMP 10009000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\system32\wscntfy.exe[1200] ole32.dll!CoCreateInstance                                                                 774D057E 5 Bytes  JMP 10008F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\xl0jkyxq.exe[1996] ole32.dll!CoCreateInstanceEx                     774D0526 5 Bytes  JMP 10009000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\xl0jkyxq.exe[1996] ole32.dll!CoCreateInstance                       774D057E 5 Bytes  JMP 10008F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\htpatch.exe[2752] ole32.dll!CoCreateInstanceEx                                                                        774D0526 5 Bytes  JMP 009D9000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\htpatch.exe[2752] ole32.dll!CoCreateInstance                                                                          774D057E 5 Bytes  JMP 009D8F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2800] ole32.dll!CoCreateInstanceEx                                                  774D0526 5 Bytes  JMP 01779000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2800] ole32.dll!CoCreateInstance                                                    774D057E 5 Bytes  JMP 01778F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\system\HsMgr.exe[2808] ole32.dll!CoCreateInstanceEx                                                                   774D0526 5 Bytes  JMP 10009000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\WINDOWS\system\HsMgr.exe[2808] ole32.dll!CoCreateInstance                                                                     774D057E 5 Bytes  JMP 10008F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[2964] ole32.dll!CoCreateInstanceEx                                                774D0526 5 Bytes  JMP 01109000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text           C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[2964] ole32.dll!CoCreateInstance                                                  774D057E 5 Bytes  JMP 01108F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                           sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                         sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\berlin.pdf                      132747 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Desktop.ini                     77 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Drachenlanze.xls                18432 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\FolderAccess2.1FreeVersion.exe  4370610 bytes executable
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Geldgeschenk.doc                24576 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Konto.xls                       15872 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Lebenslauf.doc                  19968 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\story1.doc                      28160 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Studium Kosten.xls              13824 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Tanken.xls                      15360 bytes
File            C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Thumbs.db                       5120 bytes

---- EOF - GMER 1.0.15 ----

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4108

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.05.2010 10:51:54
mbam-log-2010-05-17 (10-51-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 241055
Laufzeit: 44 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Entgegen Malwarebytes' Behauptung habe ich die betreffenden Schlüssel natürlich "in Quarantäne" gestellt.

Edit1: OTL-Scan angehangen.
Edit 2: RSIT-Logs angehangen (sorry hab ich zu spät gesehen, dass man bei 32bit dieses nehmen soll).

Für eure Hilfe wäre ich sehr dankbar!

LG Swordfish33

Hallo und

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe) - C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe File not found
O20 - Winlogon\Notify\cbssreg: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:0 () - 
O32 - AutoRun File - [2008.12.01 15:47:30 | 000,000,000 | ---D | M] - M:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2008.02.25 10:30:42 | 000,000,054 | RHS- | M] () - M:\autorun.in_2.org -- [ FAT32 ]
:Files
C:\WINDOWS\System32\quiri.exe
C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965
c:\windows\system32\fookemmo.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo cosinus,

vielen Dank erstmal für deine Hilfe!

Folgende log erscheint zunächst vielversprechend:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\ deleted successfully.
File  not found.
File  not found.
M:\autorun.in_2.org moved successfully.
========== FILES ==========
C:\WINDOWS\System32\quiri.exe moved successfully.
File\Folder C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965 not found.
File\Folder c:\windows\system32\fookemmo.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 40334 bytes
->Temporary Internet Files folder emptied: 1255160 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 81144991 bytes
->Flash cache emptied: 2227 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138908 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 617112 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 80,00 mb
 
 
OTL by OldTimer - Version 3.2.4.1 log created on 05172010_222625

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Ich hoffe, dass wir damit nun alles erschlagen haben.

Sollte ich weitere verdächtige Prozesse finden, melde ich mich natürlich noch einmal.

MfG Swordfish33

Wende jetzt mal CF an:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo, tut mir Leid dass es so lange gedauert hat, hatte zwischenzeitlich untechnisch gesehen keinen Zugriff auf den Rechner.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-05-29.05 - Reni 30.05.2010  13:00:05.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1535.1057 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Reni\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-04-28 bis 2010-05-30  ))))))))))))))))))))))))))))))
.

2010-05-30 10:54 . 2010-05-30 10:55	--------	d-----w-	C:\cofi.exe
2010-05-29 17:40 . 2010-05-29 17:40	503808	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-16debbe8-n\msvcp71.dll
2010-05-29 17:40 . 2010-05-29 17:40	499712	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-16debbe8-n\jmc.dll
2010-05-29 17:40 . 2010-05-29 17:40	348160	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-16debbe8-n\msvcr71.dll
2010-05-29 17:40 . 2010-05-29 17:40	61440	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-771df1aa-n\decora-sse.dll
2010-05-29 17:40 . 2010-05-29 17:40	12800	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-771df1aa-n\decora-d3d.dll
2010-05-17 20:26 . 2010-05-17 20:26	--------	d-----w-	C:\_OTL
2010-05-17 09:35 . 2010-05-17 09:35	--------	d-----w-	c:\programme\trend micro
2010-05-17 09:35 . 2010-05-17 09:35	--------	d-----w-	C:\rsit
2010-05-17 08:05 . 2010-05-17 08:05	--------	d-----w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Malwarebytes
2010-05-17 08:05 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-17 08:05 . 2010-05-17 08:05	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-05-17 08:05 . 2010-05-17 08:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-17 08:05 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-16 17:04 . 2010-05-16 17:04	--------	d-----w-	c:\programme\CCleaner
2010-05-16 12:23 . 2010-05-16 12:23	--------	d-----w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Avira
2010-05-16 11:12 . 2010-05-16 19:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-16 11:12 . 2010-05-16 12:20	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-05-06 13:41 . 2010-05-06 13:41	--------	d-----w-	c:\programme\ConTEXT
2010-05-06 13:34 . 2010-05-06 13:35	--------	d-----w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\TransMemory_Secure
2010-05-06 13:34 . 2005-05-31 19:19	999424	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\TransMemory_Secure\TransMemory_Secure.exe
2010-05-05 16:01 . 2008-04-14 02:22	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-05-05 12:52 . 2010-05-05 12:52	--------	d-----w-	c:\programme\Monitor Calibration Wizard
2010-05-03 09:05 . 2010-05-03 09:05	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-02 19:29 . 2010-05-02 19:29	--------	d-----w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Amazon
2010-05-02 19:28 . 2010-05-02 19:28	--------	d-----w-	c:\programme\Amazon

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 11:10 . 2006-04-23 11:06	--------	d-----w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Lavasoft
2010-05-03 09:05 . 2008-03-09 14:45	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-03-28 20:51 . 2001-08-23 12:00	85530	----a-w-	c:\windows\system32\perfc007.dat
2010-03-28 20:51 . 2001-08-23 12:00	461976	----a-w-	c:\windows\system32\perfh007.dat
2010-03-26 14:46 . 2006-01-15 16:20	76488	----a-w-	c:\dokumente und einstellungen\Reni\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-15 19:40 . 2010-03-15 19:40	503808	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\msvcp71.dll
2010-03-15 19:40 . 2010-03-15 19:40	499712	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\jmc.dll
2010-03-15 19:40 . 2010-03-15 19:40	348160	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\msvcr71.dll
2010-03-15 19:40 . 2010-03-15 19:40	61440	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-24ecc482-n\decora-sse.dll
2010-03-15 19:40 . 2010-03-15 19:40	12800	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-24ecc482-n\decora-d3d.dll
2010-03-10 15:00 . 2010-03-10 15:00	1	----a-w-	c:\dokumente und einstellungen\Reni\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-10 06:15 . 2001-08-23 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-03-09 15:03 . 2010-03-09 14:55	31651	----a-w-	c:\windows\DIIUnin.dat
2010-03-09 14:55 . 2010-03-09 14:55	2829	----a-w-	c:\windows\DIIUnin.pif
2010-03-09 14:55 . 2010-03-09 14:55	102400	----a-w-	c:\windows\DIIUnin.exe
2006-06-10 12:51 . 2006-06-10 12:51	774144	----a-w-	c:\programme\RngInterstitial.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-05-16_17.25.39   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-30 09:54 . 2010-05-30 09:54	16384              c:\windows\Temp\Perflib_Perfdata_568.dat
+ 2007-01-29 08:58 . 2010-04-21 13:28	46080              c:\windows\system32\tzchange.exe
- 2007-01-29 08:58 . 2010-01-23 08:11	46080              c:\windows\system32\tzchange.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]
"D-Link AirPlus G DWL-G510"="c:\programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe" [2008-10-20 1556480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Reni\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\Reni\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

c:\dokumente und einstellungen\Reni\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\Reni\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

c:\dokumente und einstellungen\Reni\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\Reni\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

c:\dokumente und einstellungen\Reni\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verkn�pfung mit airplus_close.lnk - c:\dokumente und einstellungen\Reni\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-05-11 22:12	49152	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.05.2009 00:00 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [05.01.2007 20:45 8768]
R2 USBDLM;USBDLM;c:\programme\USB Drive Manager\USBDLM\USBDLM.exe [28.11.2009 13:41 226304]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [03.10.2005 15:27 37568]
R3 cmudaxp;ASUS Xonar D1 Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [28.08.2009 11:39 2029888]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [03.10.2005 15:27 444416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Reni\Anwendungsdaten\Mozilla\Firefox\Profiles\or0csrcn.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-30 13:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?C?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[ 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3336)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-05-30  13:11:48
ComboFix-quarantined-files.txt  2010-05-30 11:11
ComboFix2.txt  2010-05-16 18:32
ComboFix3.txt  2010-05-17 09:11

Vor Suchlauf: 6.431.825.920 Bytes frei
Nach Suchlauf: 6.398.943.232 Bytes frei

- - End Of File - - AAEEF7F6A8A18E35FE3CF101004F5DB0
         

Avira hatte Gestern leider auch wieder nen Trojaner in System Volume Information\_Restore{...} gefunden (TR/Ddox.KN in der Datei A0111072.exe gefunden.
Muss man sich deshalb Sorgen machen?


LG Swordfish33

Zitat:

Avira hatte Gestern leider auch wieder nen Trojaner in System Volume Information\_Restore{...} gefunden (TR/Ddox.KN in der Datei A0111072.exe gefunden.
Muss man sich deshalb Sorgen machen?

Der steckt dann in der SWH => Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Das Log sieht unauffällig aus. Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und superantispyware (wenn die SWH deaktiviert wurde) und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ok die Wiederherstellungspunkte habe ich mit den empfohlenen Schritten gelöscht, danke für den Hinweis.

Leider lieferte Malwarebytes nun schon wieder den Taskman in der Registry...

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4156

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.05.2010 21:31:52
mbam-log-2010-05-30 (21-31-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 238199
Laufzeit: 37 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\chxd600870.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ggwxc81o.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
         

Hm ok, dann poste bitte mal ein OSAM Logfile.

Soo, hier endlich die OSAM-Log.

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:05:59 on 11.06.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Cmcpls8788" - "C-Media Corporation" - C:\WINDOWS\System\cmicnfgp.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Add Performance Filter Driver" (sisperf) - "Silicon Integrated Systems Corp." - C:\WINDOWS\System32\drivers\sisperf.sys
"ANIO Service" (ANIO) - "Alpha Networks Inc." - C:\WINDOWS\system32\ANIO.SYS
"Asapi" (Asapi) - "VOB Computersysteme GmbH" - C:\WINDOWS\system32\drivers\Asapi.sys
"ASUS Xonar D1 Audio Interface" (cmudaxp) - "C-Media Inc" - C:\WINDOWS\System32\drivers\cmudaxp.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys  (File not found)
"D-Link AirPlus Wireless Adapter" (AIRPLUS) - "D-Link" - C:\WINDOWS\System32\DRIVERS\airplus.sys
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sisidex" (sisidex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\drivers\sisidex.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
 "CorelDRAW Shell Extension Component" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" - ? -   (File not found | COM-object registry key not found)
<binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} "StadiumProxy Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\StProxy.dll / hxxp://zone.msn.com/binframework/v10/StProxy.cab53852.cab
{05D44720-58E3-49E6-BDF6-D00330E511D3} "StagingUI Object" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\StagingUI.ocx / hxxp://zone.msn.com/binFrameWork/v10/StagingUI.cab53083.cab
{3BB54395-5982-4788-8AF4-B5388FFDD0D8} "ZoneBuddy Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\ZBuddy.ocx / hxxp://zone.msn.com/BinFrameWork/v10/ZBuddy.cab53083.cab
{B8BE5E93-A60C-4D26-A2DC-220313175592} "ZoneIntro Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\ZIntro.ocx / hxxp://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab
{5736C456-EA94-4AAC-BB08-917ABDD035B3} "ZonePAChat Object" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\ZPAChat.ocx / hxxp://zone.msn.com/binframework/v10/ZPAChat.cab53083.cab
{95B5D20C-BD31-4489-8ABF-F8C8BE748463} "ZPA_HRTZ Object" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\zpa_hrtz.ocx / hxxp://zone.msn.com/bingame/zpagames/zpa_hrtz.cab53083.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - ? - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"OpenOffice.org 3.2.lnk" - ? - D:\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"Verknüpfung mit airplus_close.lnk" - ? - C:\Dokumente und Einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ANIWZCS2Service" - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Cmaudio8788GX" - ? - C:\WINDOWS\system\HsMgr.exe Envoke
"D-Link AirPlus G DWL-G510" - "D-Link" - C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe
"HTpatch" - ? - C:\WINDOWS\htpatch.exe  (File found, but it contains no detailed information)
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SiSUSBRG" - "Silicon Integrated Systems Corp." - C:\WINDOWS\SiSUSBrg.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"HP Standard TCP/IP Port" - "Hewlett Packard" - C:\WINDOWS\system32\HpTcpMon.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ANIWZCSd Service" (ANIWZCSdService) - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LckFldService" (LckFldService) - ? - C:\WINDOWS\system32\LckFldService.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe
"USBDLM" (USBDLM) - "Uwe Sieber - www.uwe-sieber.de" - C:\Programme\USB Drive Manager\USBDLM\USBDLM.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Taskman" - ? - C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

Zitat:

"Taskman" - ? - C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe (File not found)

Bitte mit OSAM deaktivieren und löschen

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:11:06 on 13.06.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Cmcpls8788" - "C-Media Corporation" - C:\WINDOWS\System\cmicnfgp.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Add Performance Filter Driver" (sisperf) - "Silicon Integrated Systems Corp." - C:\WINDOWS\System32\drivers\sisperf.sys
"ANIO Service" (ANIO) - "Alpha Networks Inc." - C:\WINDOWS\system32\ANIO.SYS
"Asapi" (Asapi) - "VOB Computersysteme GmbH" - C:\WINDOWS\system32\drivers\Asapi.sys
"ASUS Xonar D1 Audio Interface" (cmudaxp) - "C-Media Inc" - C:\WINDOWS\System32\drivers\cmudaxp.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys  (File not found)
"D-Link AirPlus Wireless Adapter" (AIRPLUS) - "D-Link" - C:\WINDOWS\System32\DRIVERS\airplus.sys
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sisidex" (sisidex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\drivers\sisidex.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
 "CorelDRAW Shell Extension Component" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" - ? -   (File not found | COM-object registry key not found)
<binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} "StadiumProxy Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\StProxy.dll / hxxp://zone.msn.com/binframework/v10/StProxy.cab53852.cab
{05D44720-58E3-49E6-BDF6-D00330E511D3} "StagingUI Object" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\StagingUI.ocx / hxxp://zone.msn.com/binFrameWork/v10/StagingUI.cab53083.cab
{3BB54395-5982-4788-8AF4-B5388FFDD0D8} "ZoneBuddy Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\ZBuddy.ocx / hxxp://zone.msn.com/BinFrameWork/v10/ZBuddy.cab53083.cab
{B8BE5E93-A60C-4D26-A2DC-220313175592} "ZoneIntro Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\ZIntro.ocx / hxxp://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab
{5736C456-EA94-4AAC-BB08-917ABDD035B3} "ZonePAChat Object" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\ZPAChat.ocx / hxxp://zone.msn.com/binframework/v10/ZPAChat.cab53083.cab
{95B5D20C-BD31-4489-8ABF-F8C8BE748463} "ZPA_HRTZ Object" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\zpa_hrtz.ocx / hxxp://zone.msn.com/bingame/zpagames/zpa_hrtz.cab53083.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - ? - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"OpenOffice.org 3.2.lnk" - ? - D:\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"Verknüpfung mit airplus_close.lnk" - ? - C:\Dokumente und Einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ANIWZCS2Service" - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Cmaudio8788GX" - ? - C:\WINDOWS\system\HsMgr.exe Envoke
"D-Link AirPlus G DWL-G510" - "D-Link" - C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe
"HTpatch" - ? - C:\WINDOWS\htpatch.exe  (File found, but it contains no detailed information)
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SiSUSBRG" - "Silicon Integrated Systems Corp." - C:\WINDOWS\SiSUSBrg.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"HP Standard TCP/IP Port" - "Hewlett Packard" - C:\WINDOWS\system32\HpTcpMon.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ANIWZCSd Service" (ANIWZCSdService) - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LckFldService" (LckFldService) - ? - C:\WINDOWS\system32\LckFldService.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe
"USBDLM" (USBDLM) - "Uwe Sieber - www.uwe-sieber.de" - C:\Programme\USB Drive Manager\USBDLM\USBDLM.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Taskman" - ? - C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe  (File not found)
(Disabled) "Taskman" - ? - C:\RECYCLER\S-1-5-21-9291267066-3462393189-729340850-9965\yv8g67.exe  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

und zack hat er sich wieder eingetragen ... (

Das gibts doch gar nicht.

Bitte den bootkit_remover herunterladen. Entpacke das Tool und führe in dem Ordner die Datei remove.exe aus
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device.

Hallo mal wieder )

danke für den Tip, er hat jetzt unknown bootcode auf Physical Device0 (C,D) und PhysicalDevice1 (M) gefunden wobei letztere eine externe Festplatte ist.

Was bedeutet das jetzt genau für das weitere Vorgehen? Ich denke mal, dass so etwas relativ schwer zu entfernen ist, wenn der MBR erstmal verändert ist, oder?

LG Swordfish

Hmmm, keine Idee?

Liebe Grüße,
Swordfish

Kannst Du bitte die Ausgabe exakt posten?
Dein Beitrag ist leider untergegangen.