Hallo,
Ich habe ein Problem mit meinem Rechner. Als AntiViren Software verwende ich AVG Free 9. Dieses Programm hat mir nun gesagt das fast mein ganzer Rechner mit dem SHeur AQUM, AQRA Trojaner infiziert sei. Ich bin nun natürlich aufgeschreckt. Habe dann erstmal AVG deaktiviert und habe den Online Scanner von F-Secure laufen lassen. Dieser hat aber außer Tracking Cookies nichts gefunden. Damit habe ich mich aber nicht zufrieden gegeben. Habe dann noch Spybot laufen lassen. Dieser hat nur Tracking Cookies gefunden und das von mir deaktivierte Sicherheitscenter von XP. Auch Malwarebytes hat nichts gefunden. Habe sogar AntiTrojan laufen lassen. Wieder mit negativem Ergebnis.
Ich habe auch keine ungewöhnliche Netzwerkaktivität.
Nun habe ich ein Hijack This Log gemacht und auch RSIT laufen lassen.
Diese Logs hänge ich mal an den Post an in der Hoffnung das einer von euch mir halfen kann.
MfG

Noch ein Nachtrag.
Ich habe soeben festgestellt, das immer wenn ich ein Programm starte, egal welches, der Internet Explorer als Prozess mit startet. Er startet nur als Prozess, nicht als Programmfenster. Ich kann den Prozess im Taskmanager manuell, beenden und das normal gestartete Programm läuft normal weiter.
Wenn ich das von mir gestartete Programm beende ohne den IE Prozess beendet zu haben, läuft der Ie Prozess weiter.

Edit: Ich habe soeben festgestellt, das mein Lautstärke Mixer nicht mehr funktioniert. Laut Hardware Manager ist dieser aber installiert und funktioniert. Nur ist bei Audioeigenschaften alles deaktiviert und an den Mixer komme ich auch nicht heran.
Habe hier im Forum schon ähnliche Fälle gelesen, aber ich höre weder Klickgeräusche noch Schlachtmusik. Bluescreens habe ebenfalls keine und wenn ich den IE Prozess kille bleibt er auch gekillt, bis zum start des nächsten Programms.

Hmm, Wieso kann ich meinen eigenen erstellten Beitrag nicht selbst editieren? o_O

Egal. Habe eben mal den BootKit Remover ausgeführt.

Hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
 
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
 
     Size  Device Name          MBR Status
 --------------------------------------------
  1397 GB  \\.\PhysicalDrive0   Unknown boot code
 
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
 
 
Done;
Press any key to quit...
         

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes


Schritt 2

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Hallo.
Habe alle Schritte nach Anleitung ausgeführt. Es folgen die Logs.
Nach dem Reboot für die reinigung durch MBAM kam beim Windows Start folgende Fehlermeldung.
"Rundll
Fehler beim laden von C:\Windows\dftsonp.dll
Das angegebene Modul wurde nicht gefunden."
Mein Audiomixer funktioniert wieder. Leider startet der iexplore.exe Prozess immer noch im Hintergrund bei jedem Programm welches gestartet wird.

Die Logs habe ich in den Anhang gelegt da ich per Code einfügen sonst nicht posten konnte. Die OTL.txt habe ich in ein zip File gepackt da sie zum anhängen sonst zu groß gewesen wäre.

Zitat:

Zitat von larusso

Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hallo, habe Combofix ausgeführt. Allerdings habe ich bei den ersten 2 Versuchen immer die Fehlermeldung bekommen, das Combo-Fix.exe kompromittiert sei und und der Vorgang nicht fortgesetzt werden kann. Die Combo-Fix Exe hat sich daraufhin selbst gelöscht. Es wurde beim Ausführen der exe auch eine weitere exe Datei angelegt die "Combo-FixSrv.exe" hieß.
Habe dann noch einmal Malwarebyte laufen lassen und die Datei "dftsonp.dll" war wieder vorhanden. Habe die mit MBAM entfernt, den rechner neu gestartet und eine neu heruntergelandene Version von Combo-Fix ausgeführt. Daraufhin hat Combo-Fix funktioniert. Die datei "Desktoplayer.exe" ist weiterhin vorhanden. Es ist auch von der normalen "Explorer.exe" eine "ExplorerSrv.exe" vorhanden. Auch startet weiterhin bei jedem beliebigen Programmstart der "Iexplore.exe" Prozess.
So nun aber das Combofix Log.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-04.05 - MP 05.08.2010  12:31:50.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2889 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\MP.MEDIAPC.000\Desktop\Combo-Fix.exe
.
 ADS - WINDOWS: deleted 24 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Internet Explorer\dmlconf.dat
c:\programme\Microsoft\DesktopLayer.exe
c:\programme\riva1\podm.exe
c:\programme\Xvid\StatsReader.exe
c:\windows\regedit.com
c:\windows\system32\taskmgr.com
c:\programme\Microsoft\DesktopLayer.exe . . . . Nicht in der Lage zu löschen

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-04 09:37 . 2010-08-04 09:38	--------	d-----w-	c:\programme\ERUNT
2010-08-04 09:32 . 2010-08-04 09:32	--------	d-----w-	c:\programme\7-Zip
2010-08-02 15:34 . 2010-08-02 15:34	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
2010-08-02 14:38 . 2010-08-03 12:43	--------	d-----w-	c:\programme\TrojanHunter 5.3
2010-08-02 08:38 . 2010-08-05 10:38	--------	d-----w-	c:\programme\riva1
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\VDLL.DLL
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\system32\runouce.exe
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\rundll16.exe
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\RUNDL132.EXE
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\logo1_.exe
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\logo_1.exe
2010-08-01 23:31 . 2010-08-01 23:31	632064	----a-w-	c:\windows\system32\msvcr80.dll
2010-08-01 23:31 . 2010-08-01 23:31	554240	----a-w-	c:\windows\system32\msvcp80.dll
2010-08-01 23:31 . 2010-08-01 23:31	34048	----a-w-	c:\windows\system32\eEmpty.exe
2010-08-01 23:31 . 2008-04-14 05:53	140800	----a-w-	c:\windows\system32\T.COM
2010-08-01 23:31 . 2008-04-14 05:53	153600	----a-w-	c:\windows\R.COM
2010-08-01 23:31 . 2010-08-01 23:31	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2010-08-01 23:31 . 2010-08-01 23:31	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2010-08-01 23:02 . 2010-08-01 23:04	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-08-01 22:59 . 2010-08-01 22:59	--------	d-----w-	C:\rsit
2010-08-01 22:59 . 2010-08-01 22:59	--------	d-----w-	c:\programme\trend micro
2010-08-01 22:05 . 2010-08-01 22:05	--------	d-----w-	C:\$AVG
2010-08-01 22:05 . 2010-08-01 22:05	--------	d-----w-	c:\programme\AVG
2010-08-01 21:03 . 2010-08-01 21:03	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure
2010-08-01 20:28 . 2010-08-01 20:28	--------	d-----w-	c:\windows\system32\NtmsData
2010-08-01 20:06 . 2010-08-01 20:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-01 20:05 . 2010-08-01 20:05	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-08-01 20:05 . 2010-08-01 20:05	--------	d-----w-	c:\programme\Java
2010-08-01 20:05 . 2010-08-01 20:05	79488	----a-w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll
2010-08-01 19:18 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 19:18 . 2010-08-04 09:50	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-01 19:18 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-01 17:25 . 2010-08-05 10:39	--------	d-----w-	c:\programme\Microsoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 10:41 . 2006-02-28 12:00	511794	----a-w-	c:\windows\system32\perfh007.dat
2010-08-05 10:41 . 2006-02-28 12:00	104128	----a-w-	c:\windows\system32\perfc007.dat
2010-08-05 10:40 . 2009-08-16 15:26	1397	----a-w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS\Xonar D2 Audio Center\AsusAudioCenter.dll
2010-08-05 10:40 . 2010-08-05 10:17	59392	----a-w-	c:\windows\ExplorerSrv.exe
2010-08-05 10:40 . 2010-08-05 10:40	59392	----a-w-	c:\windows\system32\rundll32Srv.exe
2010-08-05 10:38 . 2009-01-22 18:43	--------	d-----w-	c:\programme\Xvid
2010-08-05 10:17 . 2009-04-08 17:32	--------	d-----w-	c:\programme\Opera
2010-08-04 09:35 . 2009-08-30 10:01	--------	d-----w-	c:\programme\DVBViewer TE2
2010-08-04 09:35 . 2009-01-18 18:03	--------	d-----w-	c:\programme\QuickTime
2010-08-04 09:27 . 2009-01-18 01:04	--------	d-----w-	c:\programme\DAEMON Tools Lite
2010-08-04 09:27 . 2009-08-16 17:53	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft
2010-08-04 09:27 . 2009-04-03 19:56	--------	d-----w-	c:\programme\SlySoft
2010-08-02 08:14 . 2009-06-21 21:19	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-08-01 18:07 . 2009-01-24 14:31	238080	----a-w-	C:\utorrentXP.exe
2010-08-01 18:04 . 2009-10-24 17:31	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-08-01 17:37 . 2009-08-16 21:47	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Temp
2010-08-01 17:28 . 2009-02-01 15:40	632320	----a-w-	C:\CDmage1-01-5.exe
2010-08-01 17:26 . 2010-01-16 15:54	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent
2010-08-01 17:20 . 2009-08-18 17:34	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\vlc
2010-07-11 17:59 . 2009-10-03 12:30	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus
2006-05-03 09:06 . 2009-08-16 17:07	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-16 17:07	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-16 17:07	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2010-08-01 139264]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-01 159744]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-08-01 475136]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-16 198160]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]
"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-07-21 87336]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-07-16 91432]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]
"iMON"="c:\programme\SOUNDGRAPH\iMON\iMON.exe" [2010-08-02 2662400]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\dokumente und einstellungen\MP.MEDIAPC.000\Startmen�\Programme\Autostart\
Verkn�pfung mit SkystarIR.exe.lnk - c:\programme\DVBViewer TE2\SkystarIR.exe [2009-8-30 248320]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-16 805392]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2010-08-01 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\microsoft\desktoplayer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10	35696	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\utorrentXP.exe"=
"c:\\Programme\\DVBViewer TE2\\SkystarIR.exe"=
"c:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\DVBViewerTE\\SkystarIR.exe"=
"d:\\MediaPortal TV Server\\TvService.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\DVBViewer TE2\\ts_winlirc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31456:TCP"= 31456:TCP:tvservice

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [16.08.2009 22:09 3026]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [12.10.2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.10.2009 21:24 74480]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/12/07 21:07];c:\programme\CyberLink\PowerDVD8\000.fcl [28.08.2009 19:36 87536]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R2 TVService;TVService;d:\mediaportal tv server\TvService.exe [16.08.2009 22:26 188416]
R3 cmudaxp;ASUS Xonar DX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [23.08.2009 18:10 1983424]
R3 MTSBDA;TechniSat Mantis BDA Driver;c:\windows\system32\drivers\MtsBda.sys [16.08.2009 18:00 253968]
R3 MtsHID;TechniSat Mantis BDA HID Driver;c:\windows\system32\drivers\MtsHID.sys [16.08.2009 18:02 23568]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [12.10.2009 21:24 7408]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.08.2009 19:19 721904]
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: corel.com
Trusted Zone: corel.com\www
Trusted Zone: intervideo.com
Trusted Zone: intervideo.com\www
TCP: {EF68116D-EB37-463C-95E7-57350A341398} = 192.168.0.1
DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} - hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab
FF - ProfilePath - c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Firefox\Profiles\irjily61.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe
HKLM-Run-Cmaudio8788 - cmicnfgp.cpl
MSConfigStartUp-AnyDVD - c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-05 12:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3172)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\programme\Internet Explorer\IEXPLORE.EXE
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\windows\system32\locator.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wscntfy.exe
c:\programme\ASUS Xonar DX Audio\Customapp\Program\ASUSAUDIOCENTER.EXE
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  12:43:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 10:43

Vor Suchlauf: 36 Verzeichnis(se), 12.574.765.056 Bytes frei
Nach Suchlauf: 39 Verzeichnis(se), 12.565.692.416 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 8591452FA6BD5C2C113D0DB7CD64BB51
         

Ich bitte dich folgendes nochmal zu lesen !!!

Zitat:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\ExplorerSrv.exe
c:\windows\system32\rundll32Srv.exe
         

Also gehe wie hier beschrieben vor:

• Öffne diese Webseite: virustotal
• Klicke auf "Durchsuchen"
• Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
• "Senden der Datei"
• Warte, bis der Scandurchlauf aller Virenscanner beendet ist
• Auf "Compact" klicken (Links oben zu finden)
• Ein neuer Tab dürfte sich öffnen.
• Den Inhalt komplett kopieren und hier einfügen

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen