C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A

Soulmate · 22.07.2010, 11:25

Guten Tag Trojaner-Board.
Wie die Überschrift schon suggeriert: Auch ich hab den modischen neuen Trojaner TR/Spy.Browse.A in meiner C:\WINDOWS\system32\ChCfhelp.dll . Das jedenfalls sagt AntiVir. Da ich ziemlich ahnungslos bin was so das Forumleben und Umgangsformen im Internet angeht, ich aber natürlich mich an eure Regeln halten will gehe ich einfach eure Anweisungen Schritt für Schritt durch.

Goldene Regeln:
1) Jaa, ich hab mich umgeschaut, bin aber eigentlich nur auf eurem und dem Hijackthis-forum gelandet und hab mir den Thread mit Technoente durchgelesen. Allerdings steht ja explizit dabei, dass man die Ergebnisse und vorgehensweisen nicht auf sich übertragen sollte. Antivir sagt, dass das Schadenspotenzial von TR/Spy.Browse.a nicht übermäßig ist, die sonstigen Google-Einträge haben mir keinen Erkenntnisgewinn gebracht.
5) Das Problem ist noch nicht gravierend. Ich musste den PC einmal neu hochfahren, da verschiedene Programme sich nicht öffnen ließen, nach meinem Eindruck wegen Überlastung (das ist in über 2 Jahren mit diesem Betriebssystem und dieser Hardware noch nicht passiert). Dann erscheint halt immer die Warnmeldung von AntiVir und der PC ist im allgemeinen ein wenig langsamer als noch vor 3 Wochen. So, jetzt das durchführen der Anleitung
2a) done
2b)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4337

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22.07.2010 11:58:03
mbam-log-2010-07-22 (11-58-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 124517
Laufzeit: 4 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2c)
info.txtRSIT Logfile:

Code:

ATTFilter

logfile of random's system information tool 1.08 2010-07-22 11:59:15

======Uninstall list======

-->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Acrobat 7.1.0 Professional-->msiexec /I {AC76BA86-1033-F400-7760-000000000002}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -maintain plugin
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0407-1E257A25E34D}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
AnyDVD-->"C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD"
Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
ASIO4ALL-->C:\Programme\ASIO4ALL v2\uninstall.exe
Audiograbber 1.83 SE-->MsiExec.exe /X{18742725-FAAF-4FF5-AA21-88A5814BC9CE}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Cakewalk VST Adapter 4-->C:\PROGRA~1\Cakewalk\CAKEWA~1\UNWISE.EXE C:\PROGRA~1\Cakewalk\CAKEWA~1\INSTALL.LOG
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
CloneCD-->"C:\Programme\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Programme\SlySoft\CloneCD"
CloneDVD2-->"C:\Programme\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneDVD2"
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Cool Edit Pro 2.1-->C:\Programme\coolpro2\cep2unin.exe
EasyRecovery Professional-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1031 
eMule Plus 1.2e-->"C:\Programme\eMule\unins000.exe"
ERUNT 1.1j-->C:\Programme\ERUNT\unins000.exe
foobar2000 v1.0.3-->"C:\Programme\foobar2000\uninstall.exe" _?=C:\Programme\foobar2000
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
iTunes-->MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Koma-Mail-->"C:\Programme\Koma-Mail\unins000.exe"
L&H Power Translator Pro-->C:\Programme\Power Translator Pro\Uninstall.exe
Macromedia Flash MX 2004-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2F353D44-73BB-4971-B31D-F7642E9E9531}\setup.exe" -l0x7 UNINSTALL
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Baseline Security Analyzer 1.2.1-->MsiExec.exe /I{DF15059E-A356-47B2-B14B-6380ED32AB68}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.6.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero 7 Premium-->MsiExec.exe /I{42347B75-9660-2DA4-63FD-D35E344E1031}
Norton PartitionMagic 8.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{21DBBDD6-93A5-4326-9A04-C9A5C9148502} 
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
O&O Defrag Professional Edition-->MsiExec.exe /I{53480370-6CA2-47EC-BC05-02B4B9271C31}
Opera-->C:\PROGRA~1\Opera\uninst\unwise.exe C:\PROGRA~1\Opera\uninst\install.log
QuickTime-->MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7  -removeonly
Reason 3.0-->"C:\Programme\Propellerhead\Reason\Uninstall Reason\unins000.exe"
Sicherheitsupdate für Windows XP (KB2229593)-->"C:\WINDOWS\$NtUninstallKB2229593$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913433)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB913433.inf
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971468)-->"C:\WINDOWS\$NtUninstallKB971468$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975560)-->"C:\WINDOWS\$NtUninstallKB975560$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975561)-->"C:\WINDOWS\$NtUninstallKB975561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975562)-->"C:\WINDOWS\$NtUninstallKB975562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975713)-->"C:\WINDOWS\$NtUninstallKB975713$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB976325)-->"C:\WINDOWS\$NtUninstallKB976325$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB977816)-->"C:\WINDOWS\$NtUninstallKB977816$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB977914)-->"C:\WINDOWS\$NtUninstallKB977914$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978251)-->"C:\WINDOWS\$NtUninstallKB978251$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978262)-->"C:\WINDOWS\$NtUninstallKB978262$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978338)-->"C:\WINDOWS\$NtUninstallKB978338$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978601)-->"C:\WINDOWS\$NtUninstallKB978601$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978706)-->"C:\WINDOWS\$NtUninstallKB978706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979309)-->"C:\WINDOWS\$NtUninstallKB979309$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979482)-->"C:\WINDOWS\$NtUninstallKB979482$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979559)-->"C:\WINDOWS\$NtUninstallKB979559$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979683)-->"C:\WINDOWS\$NtUninstallKB979683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980195)-->"C:\WINDOWS\$NtUninstallKB980195$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980218)-->"C:\WINDOWS\$NtUninstallKB980218$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980232)-->"C:\WINDOWS\$NtUninstallKB980232$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB981349)-->"C:\WINDOWS\$NtUninstallKB981349$\spuninst\spuninst.exe"
Steinberg Cubase SX v3.1.1.944-->C:\PROGRA~1\CUBASE~1\UNWISE.EXE C:\PROGRA~1\CUBASE~1\INSTALL.LOG
TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926}
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Update für Windows XP (KB978207)-->"C:\WINDOWS\$NtUninstallKB978207$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.2-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: HOME-PC
Event Code: 4226
Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Record Number: 17963
Source Name: Tcpip
Time Written: 20100525100828.000000+120
Event Type: Warnung
User: 

Computer Name: HOME-PC
Event Code: 7036
Message: Dienst "HTTP-SSL" befindet sich jetzt im Status "Ausgeführt".

Record Number: 17962
Source Name: Service Control Manager
Time Written: 20100525100531.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-PC
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "HTTP-SSL" gesendet.

Record Number: 17961
Source Name: Service Control Manager
Time Written: 20100525100531.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: HOME-PC
Event Code: 4201
Message: Netzwerkadapter "TP-LINK 11b/g Wireless Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 17960
Source Name: Tcpip
Time Written: 20100525100528.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-PC
Event Code: 7036
Message: Dienst "Konfigurationsfreie drahtlose Verbindung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 17959
Source Name: Service Control Manager
Time Written: 20100525100508.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: HOME-PC
Event Code: 1
Message: 
Record Number: 991
Source Name: Bonjour Service
Time Written: 20090830125353.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 990
Source Name: LoadPerf
Time Written: 20090829152001.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-PC
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 989
Source Name: LoadPerf
Time Written: 20090829152001.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-PC
Event Code: 0
Message: 
Record Number: 988
Source Name: iPod Service
Time Written: 20090829151606.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-PC
Event Code: 1
Message: 
Record Number: 987
Source Name: Bonjour Service
Time Written: 20090829151559.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2c02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

--- --- ---

und nochmal 2c)
RSIT Logfile:

Code:

ATTFilter

Logfile of random's system information tool 1.08 (written by random/random)
Run by Administrator at 2010-07-22 12:02:17
Microsoft Windows XP Professional Service Pack 3
System drive C: has 154 GB (64%) free of 238 GB
Total RAM: 1023 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:02:31, on 22.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\trend micro\Administrator.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Koma-Mail] C:\Programme\Koma-Mail\Koma_Mail.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IWYA.lnk = C:\Programme\Dosgames\UUZZ\IWYA\IWYA.exe
O4 - Global Startup: Koma-Mail.lnk = C:\Programme\Koma-Mail\Koma_Mail.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 5975 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2006-12-18 231160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2006-12-18 231160]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""= []
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2008-03-30 267048]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-04 8523776]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Koma-Mail"=C:\Programme\Koma-Mail\Koma_Mail.exe [2009-12-23 2826240]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Koma-Mail.lnk - C:\Programme\Koma-Mail\Koma_Mail.exe

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
IWYA.lnk - C:\Programme\Dosgames\UUZZ\IWYA\IWYA.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-05-09 52224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=0x00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-07-22 11:59:04 ----D---- C:\Programme\trend micro
2010-07-22 11:59:03 ----D---- C:\rsit
2010-07-22 11:41:06 ----D---- C:\Programme\CCleaner
2010-07-21 20:04:27 ----D---- C:\WINDOWS\ERDNT
2010-07-21 20:03:54 ----D---- C:\Programme\ERUNT
2010-07-21 19:41:57 ----D---- C:\Programme\7-Zip
2010-07-21 19:41:32 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-07-21 19:41:13 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-07-21 19:41:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-21 19:41:08 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-07-21 19:41:08 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2010-07-13 19:41:42 ----HDC---- C:\WINDOWS\$NtUninstallKB2229593$
2010-07-10 00:11:15 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2010-07-04 12:25:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX
2010-06-29 12:34:30 ----RA---- C:\WINDOWS\system32\drivers\ar5211.sys

======List of files/folders modified in the last 1 months======

2010-07-22 11:59:04 ----RD---- C:\Programme
2010-07-22 11:45:45 ----D---- C:\WINDOWS\Temp
2010-07-22 11:45:45 ----D---- C:\WINDOWS\Minidump
2010-07-22 11:45:45 ----D---- C:\WINDOWS\Debug
2010-07-22 11:45:45 ----D---- C:\WINDOWS
2010-07-22 11:43:34 ----D---- C:\WINDOWS\system32
2010-07-22 11:34:57 ----A---- C:\WINDOWS\cdplayer.ini
2010-07-22 11:26:45 ----D---- C:\Musik
2010-07-22 11:05:22 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-07-22 11:01:55 ----D---- C:\WINDOWS\system32\CatRoot2
2010-07-22 11:01:29 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\KomaMail
2010-07-21 19:41:13 ----D---- C:\WINDOWS\system32\drivers
2010-07-15 12:50:39 ----A---- C:\WINDOWS\NeroDigital.ini
2010-07-14 19:42:46 ----D---- C:\Programme\Gemeinsame Dateien
2010-07-14 19:42:45 ----SHD---- C:\WINDOWS\Installer
2010-07-14 19:42:45 ----D---- C:\WINDOWS\WinSxS
2010-07-14 19:42:38 ----D---- C:\Programme\DivX
2010-07-14 03:14:49 ----D---- C:\Programme\Mozilla Firefox
2010-07-13 19:41:47 ----HD---- C:\WINDOWS\inf
2010-07-13 19:41:44 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-07-13 19:41:12 ----HD---- C:\WINDOWS\$hf_mig$
2010-07-11 11:49:32 ----D---- C:\Projekt
2010-07-11 11:45:59 ----D---- C:\Installationen
2010-07-10 11:42:55 ----D---- C:\Programme\Dosgames
2010-07-09 14:45:36 ----D---- C:\Programme\DOSBox-0.72
2010-07-09 00:17:25 ----D---- C:\Bild
2010-07-02 12:39:06 ----A---- C:\WINDOWS\system32\MRT.exe
2010-07-01 14:54:26 ----D---- C:\Temp
2010-06-29 14:02:38 ----D---- C:\WINDOWS\security
2010-06-29 12:30:31 ----A---- C:\WINDOWS\Ascd_tmp.ini
2010-06-29 12:21:03 ----D---- C:\Cakewalk Projects
2010-06-29 12:20:13 ----D---- C:\Programme\Syncrosoft
2010-06-29 12:19:39 ----D---- C:\Programme\Magic Workstation
2010-06-29 12:13:07 ----A---- C:\WINDOWS\system32\results.txt

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 sfdrv01;StarForce Protection Environment Driver (version 1.x); C:\WINDOWS\System32\drivers\sfdrv01.sys [2005-08-10 50688]
R0 sfhlp02;StarForce Protection Helper Driver (version 2.x); C:\WINDOWS\System32\drivers\sfhlp02.sys [2005-05-16 6656]
R0 sfvfs02;StarForce Protection VFS Driver (version 2.x); C:\WINDOWS\System32\drivers\sfvfs02.sys [2005-11-03 63488]
R0 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys [2009-03-06 717296]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []
R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2004-05-05 4228]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2006-04-22 8064]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-09-22 3727680]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2006-05-01 19200]
R3 AR5211;TP-LINK Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-12-21 470048]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 MarvinBus;Pinnacle Marvin Bus; C:\WINDOWS\system32\DRIVERS\MarvinBus.sys [2005-06-02 171008]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-04 7435392]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928]
S3 ASAPIW2K;ASAPIW2K; \??\C:\WINDOWS\system32\Drivers\asapiW2k.sys []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 lredbooo;lredbooo; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\lredbooo.sys []
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-05-09 40704]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-04 155716]
R2 O&O Defrag;O&O Defrag; C:\WINDOWS\system32\oodag.exe [2005-05-11 225280]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2009-01-13 72704]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-03-30 504104]
S3 Macromedia Licensing Service;Macromedia Licensing Service; C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe [2009-01-13 68096]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-06-01 89136]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe [2005-08-24 118272]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-05-10 829440]

-----------------EOF-----------------

--- --- ---

3)
nochmal drübergekuckt, müsste eigentlich alles Roger sein.

So. Ich hoffe alles richtig gemacht zu haben und bedanke mich schonmal (noch rein sprachlich) im Vorraus. Gruß Christian

markusg · 22.07.2010, 13:36

du bist ausführlicher gewesen als die meisten :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Soulmate · 22.07.2010, 16:53

Wow, das ging schnell.
Ich wäre auch schneller gewesen, aber irgendwie hat der Virus (oder ich selbst, kann auch sein) die Autodownloadfunktion meines Offlinemailclients (komamail) deaktiviert. Also, eigentlich gibts schnellere Antworten.
Combofix hat mich gefragt ob ich eine Windows XP Home-Version habe. Ich hab XP professional und hab nein geklickt, war das falsch, ist das wichtig?
Ach, nochwas: AntiVir findet den Schädling, und auch keine Anderen, aber das wusstest du bestimmt schon oder? =)

Hier die Logfile:
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-21.04 - Administrator 22.07.2010  17:44:17.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-22 bis 2010-07-22  ))))))))))))))))))))))))))))))
.

2010-07-21 18:03 . 2010-07-21 18:04	--------	d-----w-	c:\programme\ERUNT
2010-07-21 17:41 . 2010-07-21 17:41	--------	d-----w-	c:\programme\7-Zip
2010-07-21 17:41 . 2010-07-21 17:41	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-07-21 17:41 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-21 17:41 . 2010-07-21 17:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-21 17:41 . 2010-07-21 17:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-21 17:41 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-13 17:39 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-07-09 22:11 . 2010-07-09 22:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2010-07-09 21:17 . 2010-07-11 08:32	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-04 10:25 . 2010-07-14 17:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-06-29 10:34 . 2005-12-21 02:16	470048	----a-r-	c:\windows\system32\drivers\ar5211.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-22 15:43 . 2006-06-01 19:06	48156	----a-w-	c:\windows\system32\perfc007.dat
2010-07-22 15:43 . 2006-06-01 19:06	316594	----a-w-	c:\windows\system32\perfh007.dat
2010-07-22 10:51 . 2010-01-06 09:25	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\KomaMail
2010-07-22 10:02 . 2010-07-22 09:59	--------	d-----w-	c:\programme\trend micro
2010-07-22 09:41 . 2010-07-22 09:41	--------	d-----w-	c:\programme\CCleaner
2010-07-14 17:42 . 2009-11-04 10:29	--------	d-----w-	c:\programme\DivX
2010-07-10 09:42 . 2009-01-13 17:24	--------	d-----w-	c:\programme\Dosgames
2010-07-09 12:45 . 2009-01-13 17:33	--------	d-----w-	c:\programme\DOSBox-0.72
2010-06-29 10:20 . 2009-03-01 19:16	--------	d-----w-	c:\programme\Syncrosoft
2010-06-29 10:19 . 2009-10-17 16:09	--------	d-----w-	c:\programme\Magic Workstation
2010-06-14 14:31 . 2009-01-13 13:44	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-04 10:07 . 2010-05-09 19:04	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\foobar2000
2010-06-04 08:56 . 2010-02-24 15:14	--------	d-----w-	c:\programme\coolpro2
2010-05-28 19:53 . 2010-01-17 12:18	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-05-28 12:52 . 2010-01-17 12:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-02 08:05 . 2006-06-01 19:06	1851392	----a-w-	c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Koma-Mail"="c:\programme\Koma-Mail\Koma_Mail.exe" [2009-12-23 2826240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776]
"nwiz"="nwiz.exe" [2007-12-04 1626112]
"NvMediaCenter"="NvMCTray.dll" [2007-12-04 81920]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
IWYA.lnk - c:\programme\Dosgames\UUZZ\IWYA\IWYA.exe [2010-1-26 36864]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Koma-Mail.lnk - c:\programme\Koma-Mail\Koma_Mail.exe [2010-1-7 2826240]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SoundMan"=SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.10.2009 19:43 108289]
S3 lredbooo;lredbooo;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\lredbooo.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\lredbooo.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.03.2009 21:32 717296]
.
Inhalt des "geplante Tasks" Ordners

2009-01-13 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 01:29]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ahwljmu6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-22 17:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-07-22  17:49:34
ComboFix-quarantined-files.txt  2010-07-22 15:49

Vor Suchlauf: 16 Verzeichnis(se), 160.457.760.768 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 161.865.089.024 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - D1F06EF3341F9555FFE7990F5C549D92

--- --- ---

markusg · 22.07.2010, 17:03

avira

avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Soulmate · 22.07.2010, 17:23

dazu muss ich die alte Version deinstallieren oder?
aha, mein Fehler, steht ja da =). So, kleinen Moment

markusg · 22.07.2010, 17:30

jo steht ja da :-)

Soulmate · 22.07.2010, 18:48

Freshe Sache: keine Funde. Heißt das meinem Baby gehts wieder gut?

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 22. Juli 2010 19:21

Es wird nach 2562399 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : HOME-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:04:37
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:05:38
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 17:05:38
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 17:05:38
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 17:05:38
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 17:05:38
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 17:05:38
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 17:05:38
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:05:46
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:05:49
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:05:51
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 17:05:54
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 17:06:05
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 17:06:07
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 17:06:10
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 17:06:13
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 17:06:17
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 17:06:29
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 17:06:32
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 17:06:36
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 17:06:40
VBASE026.VDF : 7.10.9.133 630784 Bytes 20.07.2010 17:06:54
VBASE027.VDF : 7.10.9.141 421376 Bytes 21.07.2010 17:07:06
VBASE028.VDF : 7.10.9.148 355328 Bytes 21.07.2010 17:07:15
VBASE029.VDF : 7.10.9.153 492032 Bytes 21.07.2010 17:07:24
VBASE030.VDF : 7.10.9.160 864768 Bytes 22.07.2010 17:07:44
VBASE031.VDF : 7.10.9.163 17408 Bytes 22.07.2010 17:07:45
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 22.07.2010 17:08:58
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 22.07.2010 17:08:57
AESCN.DLL : 8.1.6.1 127347 Bytes 22.07.2010 17:08:49
AESBX.DLL : 8.1.3.1 254324 Bytes 22.07.2010 17:09:00
AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 17:08:47
AEPACK.DLL : 8.2.3.2 471414 Bytes 22.07.2010 17:08:42
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 17:08:36
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 22.07.2010 17:08:34
AEHELP.DLL : 8.1.13.2 242039 Bytes 22.07.2010 17:08:07
AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 17:08:05
AEEMU.DLL : 8.1.2.0 393588 Bytes 22.07.2010 17:07:58
AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 17:07:56
AEBB.DLL : 8.1.1.0 53618 Bytes 22.07.2010 17:07:53
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, A:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 22. Juli 2010 19:21

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IWYA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Koma_Mail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1035' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [87]: Falscher Parameter.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Ende des Suchlaufs: Donnerstag, 22. Juli 2010 19:48
Benötigte Zeit: 26:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7297 Verzeichnisse wurden überprüft
197223 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
197223 Dateien ohne Befall
1078 Archive wurden durchsucht
0 Warnungen
0 Hinweise
36350 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

markusg · 22.07.2010, 18:54

ist das symbol auch wieder da?

Soulmate · 22.07.2010, 19:03

Ja ist es.
Das war nur nach dem Neustart weg, welcher von Combofix selbst initiiert wurde. Aber da sind auch meine Autostart-Sachen nicht gestartet worden. Sry, hätte ich mal vorher prüfen können, ich hatte es oben editiert sobalds mir aufgefallen ist. Also, jetzt ne Danksagungsorgie?

markusg · 22.07.2010, 19:12

noch n bissel was zu tun
Free ESET Online Antivirus Scanner
bitte den eset online scanner nutzen, funde löschen lassen, log posten

Soulmate · 22.07.2010, 21:41

ou man... nach ca. 100 minuten ist er endlich fertig, hat einen Fund gemacht, dann hab ich auf löschen geklickt und dann war er fertig... keine logfile... ich habs aber auch via firefox, also mit download gemacht, ich machs jetzt nochmal via Iexplorer und schau was ich falsch gemacht hab...

jaja, Wasserstandsmeldung, schon klar =)

markusg · 22.07.2010, 23:53

ne sollte auch mit dem ff gehen, weist du noch was wo gefunden wurde,evtl. ist auch eine logdatei unter c:\programme\eset

Soulmate · 23.07.2010, 08:04

geil, dann muss ich das nicht NOCH mal machen, beim zweiten wars nämlich ähnlich (also... irgendwann wollte ich schlafen und musste abbrechen.)

ist das die logdatei?
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ee7efd1fc6f2f84c94dd508008cadee4
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-07-22 07:53:39
# local_time=2010-07-22 09:53:39 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 29894 29894 0 0
# compatibility_mode=1797 16775125 100 93 4260 38915926 0 0
# compatibility_mode=8192 67108863 100 0 218 218 0 0
# scanned=81003
# found=1
# cleaned=1
# scan_time=5588
C:\System Volume Information\_restore{78E12AB0-0A38-413F-B040-F692B4A14EAE}\RP69\A0066298.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
# version=7
# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ee7efd1fc6f2f84c94dd508008cadee4
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-22 09:14:27
# local_time=2010-07-22 11:14:27 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 38527 38527 0 0
# compatibility_mode=1797 16775125 100 93 12893 38924559 4971 0
# compatibility_mode=8192 67108863 100 0 8851 8851 0 0
# scanned=44839
# found=0
# cleaned=0
# scan_time=1804

Soulmate · 23.07.2010, 15:52

so, nochmal gemacht, neues log hier:
(ich bin nicht ungeduldig, dachte nur falls ich beim ersten Mal was falsch gemacht hab, versuch ichs nochmal, viel kaputtgehen kann da ja nich)

Tadaaaaa:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ee7efd1fc6f2f84c94dd508008cadee4
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-07-22 07:53:39
# local_time=2010-07-22 09:53:39 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 29894 29894 0 0
# compatibility_mode=1797 16775125 100 93 4260 38915926 0 0
# compatibility_mode=8192 67108863 100 0 218 218 0 0
# scanned=81003
# found=1
# cleaned=1
# scan_time=5588
C:\System Volume Information\_restore{78E12AB0-0A38-413F-B040-F692B4A14EAE}\RP69\A0066298.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
# version=7
# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ee7efd1fc6f2f84c94dd508008cadee4
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-22 09:14:27
# local_time=2010-07-22 11:14:27 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 38527 38527 0 0
# compatibility_mode=1797 16775125 100 93 12893 38924559 4971 0
# compatibility_mode=8192 67108863 100 0 8851 8851 0 0
# scanned=44839
# found=0
# cleaned=0
# scan_time=1804
# version=7
# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ee7efd1fc6f2f84c94dd508008cadee4
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-23 01:39:19
# local_time=2010-07-23 03:39:19 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 96850 96850 0 0
# compatibility_mode=1797 16775125 100 93 21401 38982882 63294 0
# compatibility_mode=8192 67108863 100 0 67174 67174 0 0
# scanned=45602
# found=0
# cleaned=0
# scan_time=2573
esets_scanner_update returned -1 esets_gle=53251
# version=7
# Explorer.EXE=6.00.2900.5512 (xpsp.080413-2105)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ee7efd1fc6f2f84c94dd508008cadee4
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-23 02:44:14
# local_time=2010-07-23 04:44:14 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 99566 99566 0 0
# compatibility_mode=1797 16775125 100 93 24117 38985598 66010 0
# compatibility_mode=8192 67108863 100 0 69890 69890 0 0
# scanned=80944
# found=0
# cleaned=0
# scan_time=3751

markusg · 23.07.2010, 18:15

bitte besuche die windows update seite, spiele den internet explorer 8 auf, selbst wenn du nen andern browser benutzt.
deinstaliere über systemsteuerung software den eset online scanner.
nutze den ccleaner.
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools

rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, wähle auf allen laufwerken deaktivieren, übernehmen/ok
warte 5 min schalte sie wieder ein.
instaliere dir secunia, um deine software aktuell zu halten:
PSI - Consumer - Products
endere alle passwörter.
wenn keine probleme mehr bestehen, sind wir fertig

22.07.2010, 13:36	#2
markusg /// Malware-holic	$C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A - Standard$ C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A du bist ausführlicher gewesen als die meisten :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________

22.07.2010, 17:03	#4
markusg /// Malware-holic	$C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A - Standard$ C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A avira avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

22.07.2010, 17:30	#6
markusg /// Malware-holic	$C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A - Standard$ C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A jo steht ja da :-)

22.07.2010, 18:54	#8
markusg /// Malware-holic	$C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A - Standard$ C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A ist das symbol auch wieder da?

22.07.2010, 19:12	#10
markusg /// Malware-holic	$C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A - Standard$ C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A noch n bissel was zu tun Free ESET Online Antivirus Scanner bitte den eset online scanner nutzen, funde löschen lassen, log posten

C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A

Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\system32\ChCfhelp.dll - TR/Spy.Browse.A