Weiss nichmehr weiter -.-

cosinus · 12.08.2010, 16:59

Ist rel. unauffällig. Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

derfagus · 12.08.2010, 17:30

hier die combofix log,vorher CCleaner gemacht natürlich

Code:

ATTFilter

ComboFix 10-08-11.05 - fagus 12.08.2010  18:20:56.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.3454.3043 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\fagus\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-12 bis 2010-08-12  ))))))))))))))))))))))))))))))
.

2010-08-12 16:11 . 2010-08-12 16:11	--------	d-----w-	c:\programme\CCleaner
2010-08-12 15:21 . 2010-08-12 15:39	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-08-12 11:45 . 2010-08-12 11:45	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-12 11:45 . 2010-08-12 11:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-12 11:45 . 2010-08-12 11:45	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-11 19:42 . 2010-08-11 19:42	--------	d-----w-	c:\programme\Security Task Manager
2010-08-11 13:23 . 2010-08-11 13:23	12912	----a-w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-10 17:35 . 2010-08-10 17:35	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\COMODO
2010-08-10 16:55 . 2010-08-10 16:55	--------	d-----w-	c:\dokumente und einstellungen\tammi\Anwendungsdaten\Avira
2010-08-10 16:14 . 2010-08-12 11:31	--------	d-----w-	c:\dokumente und einstellungen\tammi\Tracing
2010-08-09 21:55 . 2010-08-09 21:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-09 21:55 . 2010-08-09 21:55	--------	d-----w-	c:\windows\system32\Kaspersky Lab
2010-08-09 21:23 . 2010-08-12 16:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-09 21:23 . 2010-08-09 21:24	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-08-09 21:05 . 2010-08-12 13:12	--------	d-----w-	c:\programme\Casper RAM Cleaner
2010-08-09 19:17 . 2010-08-09 19:17	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Identities
2010-08-08 16:30 . 2010-08-08 16:30	--------	d-----w-	c:\programme\Microsoft CAPICOM 2.1.0.2
2010-08-08 10:04 . 2010-07-23 02:09	910296 begin_of_the_skype_highlighting**************09 910296******end_of_the_skype_highlighting	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\firefox.exe
2010-08-08 10:04 . 2010-07-23 02:09	718296	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\mozcpp19.dll
2010-08-08 10:04 . 2010-07-23 02:09	105432	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\crashreporter.exe
2010-08-08 10:04 . 2010-07-23 02:09	1015768	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\js3250.dll
2010-08-08 10:04 . 2010-07-22 23:41	249856	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\freebl3.dll
2010-08-08 10:04 . 2010-08-11 14:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox
2010-08-08 10:04 . 2010-07-23 02:09	17880	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\AccessibleMarshal.dll
2010-08-08 10:02 . 2010-08-08 10:02	--------	d-s---w-	c:\dokumente und einstellungen\tammi\UserData
2010-08-08 00:44 . 2010-08-08 00:44	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-08 00:35 . 2010-08-08 00:45	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-08-07 19:01 . 2010-08-07 19:01	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-08-07 19:01 . 2010-08-12 14:05	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\skypePM
2010-08-07 18:53 . 2010-08-12 16:25	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Skype
2010-08-07 18:53 . 2010-08-07 18:53	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-08-07 18:53 . 2010-08-07 18:53	--------	d-----r-	c:\programme\Skype
2010-08-07 18:53 . 2010-08-07 18:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-07 15:23 . 2010-08-07 15:23	--------	d-----w-	c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\LogiShrd
2010-08-07 15:21 . 2009-04-30 23:02	539160	----a-w-	c:\windows\system32\LVUI2.dll
2010-08-07 15:21 . 2009-04-30 23:03	6754712	----a-w-	c:\windows\system32\drivers\lvuvc.sys
2010-08-07 15:21 . 2009-04-30 23:02	539160	----a-w-	c:\windows\system32\LVUI2RC.dll
2010-08-07 15:21 . 2009-04-30 22:57	416280	----a-w-	c:\windows\system32\lvcodec2.dll
2010-08-07 15:20 . 2009-04-30 22:57	199192	----a-w-	c:\windows\system32\lvci1201278.dll
2010-08-07 15:20 . 2009-04-30 23:01	265496	----a-w-	c:\windows\system32\drivers\lvrs.sys
2010-08-07 15:20 . 2009-04-30 22:39	34068	----a-w-	c:\windows\system32\Repository.reg
2010-08-07 15:19 . 2009-04-30 23:03	23832	----a-w-	c:\windows\system32\drivers\lvuvcflt.sys
2010-08-07 15:19 . 2010-08-09 11:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21	--------	d-----w-	c:\programme\Logitech
2010-08-07 14:33 . 2004-08-03 22:57	54272	-c--a-w-	c:\windows\system32\dllcache\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 22:57	54272	----a-w-	c:\windows\system32\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 21:10	78464	-c--a-w-	c:\windows\system32\dllcache\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:10	78464	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:08	31616	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-08-07 14:33 . 2004-08-03 21:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-08-07 11:41 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-08-07 05:40 . 2010-08-07 05:40	--------	d-----w-	c:\programme\MSXML 6.0
2010-08-06 17:11 . 2010-08-06 17:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-08-06 16:31 . 2009-11-25 21:03	61952	----a-w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
2010-08-06 14:37 . 2010-08-07 18:51	--------	d-----w-	c:\dokumente und einstellungen\fagus\Tracing
2010-08-06 14:34 . 2010-08-06 14:34	--------	d-----w-	c:\programme\Microsoft
2010-08-06 14:34 . 2010-08-06 14:34	--------	d-----w-	c:\programme\Windows Live SkyDrive
2010-08-06 14:34 . 2010-08-06 14:34	--------	d-----w-	c:\programme\Windows Live
2010-08-06 14:31 . 2010-08-06 14:31	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2010-08-06 14:13 . 2010-08-06 14:13	--------	d-----w-	c:\windows\ServicePackFiles

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 16:24 . 2010-08-06 13:15	16608	----a-w-	c:\windows\gdrv.sys
2010-08-12 13:14 . 2010-08-06 13:02	--------	d-----w-	c:\programme\COMODO
2010-08-11 19:46 . 2010-08-11 19:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-08-10 15:10 . 2010-08-06 13:32	227600	----a-w-	c:\windows\system32\drivers\sfi.dat
2010-08-08 18:52 . 2010-08-07 15:22	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-08-07 23:22 . 2004-08-04 10:00	80108	----a-w-	c:\windows\system32\perfc007.dat
2010-08-07 23:22 . 2004-08-04 10:00	448800	----a-w-	c:\windows\system32\perfh007.dat
2010-08-07 16:01 . 2010-08-06 13:06	--------	d-----w-	c:\programme\Iminent
2010-08-07 11:38 . 2010-08-06 13:07	12912	----a-w-	c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-07 05:43 . 2010-08-07 05:43	--------	d-----w-	c:\programme\MSBuild
2010-08-07 05:43 . 2010-08-07 05:43	--------	d-----w-	c:\programme\Reference Assemblies
2010-08-06 13:37 . 2010-08-06 13:37	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Avira
2010-08-06 13:24 . 2010-08-06 13:22	--------	d-----w-	c:\programme\Realtek
2010-08-06 13:24 . 2010-08-06 13:24	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\InstallShield
2010-08-06 13:22 . 2010-08-06 13:22	315392	----a-w-	c:\windows\HideWin.exe
2010-08-06 13:18 . 2010-08-06 13:18	--------	d-----w-	c:\programme\Intel
2010-08-06 13:17 . 2010-08-06 13:17	--------	d-----w-	c:\programme\GIGABYTE
2010-08-06 13:07 . 2010-08-06 13:07	--------	d-----w-	c:\programme\Conduit
2010-08-06 12:55 . 2010-08-06 12:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-08-06 12:43 . 2010-08-06 13:17	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-06 12:43 . 2010-08-06 13:17	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2010-08-06 12:39 . 2010-08-06 11:52	87263	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-06 12:31 . 2010-08-06 12:31	0	----a-w-	c:\windows\nsreg.dat
2010-08-06 11:53 . 2010-08-06 11:53	--------	d-----w-	c:\programme\microsoft frontpage
2010-08-06 11:51 . 2010-08-06 11:51	--------	d-----w-	c:\programme\Online-Dienste
2010-08-06 11:50 . 2010-08-06 11:50	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-08-06 11:49 . 2010-08-06 11:49	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2010-07-22 23:41 . 2010-08-08 10:05	98304	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\nssdbm3.dll
2010-07-22 23:41 . 2010-08-08 10:05	155648	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\softokn3.dll
2010-06-14 14:30 . 2010-08-06 11:50	743936	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-08 09:29 . 2010-08-06 13:07	52224	----a-w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-06-08 09:29 . 2010-08-06 13:07	101376	----a-w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="d:\steam\Steam.exe" [2010-08-06 1238352]
"Logitech Vid"="c:\programme\Logitech\Logitech Vid\vid.exe" [2009-06-02 5451536]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m’|\ü" [X]
"avgnt"="c:\avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-27 16875008]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 2808832]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Steam\\Steam.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\avira\AntiVir Desktop\sched.exe [06.08.2010 14:55 135336]
R2 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\EnergySaver\GSvr.exe [06.08.2010 15:17 80392]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {BE1C7581-4FB6-4103-A180-75AF581BF14A} = 195.50.140.248 195.50.140.114
FF - ProfilePath - c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-12 18:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2964)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\avira\AntiVir Desktop\avguard.exe
c:\avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\RTHDCPL.EXE
c:\windows\SOUNDMAN.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-12  18:27:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-12 16:27

Vor Suchlauf: 6 Verzeichnis(se), 40.833.413.120 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 41.064.300.544 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 0056129D109D14F4C8A2AEE7A7630F39

hoffe ist alles okay

hab ein paar sachen aus dem autoostart genommen ,dabei viel mir das huier auf, diese komischen zeichen ???

hxxp://www.pic-upload.de/view-6690648/autostart.jpg.html

was ist das?
vielen dank für die hilfe nochmals!!!

cosinus · 12.08.2010, 18:05

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"=-

Folder::
c:\programme\COMODO

File::
c:\windows\system32\drivers\sfi.dat

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

derfagus · 12.08.2010, 18:17

okay hab ich gemacht hier das neue log von combofix:

Code:

ATTFilter

ComboFix 10-08-11.05 - fagus 12.08.2010  19:12:18.2.4 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.3454.2924 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\fagus\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\fagus\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\sfi.dat"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\COMODO
c:\windows\system32\drivers\sfi.dat

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-12 bis 2010-08-12  ))))))))))))))))))))))))))))))
.

2010-08-12 16:11 . 2010-08-12 16:11	--------	d-----w-	c:\programme\CCleaner
2010-08-12 15:21 . 2010-08-12 15:39	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-08-12 11:45 . 2010-08-12 11:45	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-12 11:45 . 2010-08-12 11:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-12 11:45 . 2010-08-12 11:45	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-11 19:42 . 2010-08-11 19:42	--------	d-----w-	c:\programme\Security Task Manager
2010-08-11 13:23 . 2010-08-11 13:23	12912	----a-w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-10 17:35 . 2010-08-10 17:35	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\COMODO
2010-08-10 16:55 . 2010-08-10 16:55	--------	d-----w-	c:\dokumente und einstellungen\tammi\Anwendungsdaten\Avira
2010-08-10 16:14 . 2010-08-12 11:31	--------	d-----w-	c:\dokumente und einstellungen\tammi\Tracing
2010-08-09 21:55 . 2010-08-09 21:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-09 21:55 . 2010-08-09 21:55	--------	d-----w-	c:\windows\system32\Kaspersky Lab
2010-08-09 21:23 . 2010-08-12 16:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-09 21:23 . 2010-08-09 21:24	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-08-09 21:05 . 2010-08-12 13:12	--------	d-----w-	c:\programme\Casper RAM Cleaner
2010-08-09 19:17 . 2010-08-09 19:17	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Identities
2010-08-08 16:30 . 2010-08-08 16:30	--------	d-----w-	c:\programme\Microsoft CAPICOM 2.1.0.2
2010-08-08 10:04 . 2010-07-23 02:09	910296	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\firefox.exe
2010-08-08 10:04 . 2010-07-23 02:09	718296	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\mozcpp19.dll
2010-08-08 10:04 . 2010-07-23 02:09	105432	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\crashreporter.exe
2010-08-08 10:04 . 2010-07-23 02:09	1015768	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\js3250.dll
2010-08-08 10:04 . 2010-07-22 23:41	249856	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\freebl3.dll
2010-08-08 10:04 . 2010-08-11 14:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox
2010-08-08 10:04 . 2010-07-23 02:09	17880	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\AccessibleMarshal.dll
2010-08-08 10:02 . 2010-08-08 10:02	--------	d-s---w-	c:\dokumente und einstellungen\tammi\UserData
2010-08-08 00:44 . 2010-08-08 00:44	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-08 00:35 . 2010-08-08 00:45	--------	d-----w-	c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-08-07 19:01 . 2010-08-07 19:01	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-08-07 19:01 . 2010-08-12 14:05	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\skypePM
2010-08-07 18:53 . 2010-08-12 17:08	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Skype
2010-08-07 18:53 . 2010-08-07 18:53	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-08-07 18:53 . 2010-08-07 18:53	--------	d-----r-	c:\programme\Skype
2010-08-07 18:53 . 2010-08-07 18:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-07 15:23 . 2010-08-07 15:23	--------	d-----w-	c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\LogiShrd
2010-08-07 15:21 . 2009-04-30 23:02	539160	----a-w-	c:\windows\system32\LVUI2.dll
2010-08-07 15:21 . 2009-04-30 23:03	6754712	----a-w-	c:\windows\system32\drivers\lvuvc.sys
2010-08-07 15:21 . 2009-04-30 23:02	539160	----a-w-	c:\windows\system32\LVUI2RC.dll
2010-08-07 15:21 . 2009-04-30 22:57	416280	----a-w-	c:\windows\system32\lvcodec2.dll
2010-08-07 15:20 . 2009-04-30 22:57	199192	----a-w-	c:\windows\system32\lvci1201278.dll
2010-08-07 15:20 . 2009-04-30 23:01	265496	----a-w-	c:\windows\system32\drivers\lvrs.sys
2010-08-07 15:20 . 2009-04-30 22:39	34068	----a-w-	c:\windows\system32\Repository.reg
2010-08-07 15:19 . 2009-04-30 23:03	23832	----a-w-	c:\windows\system32\drivers\lvuvcflt.sys
2010-08-07 15:19 . 2010-08-09 11:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21	--------	d-----w-	c:\programme\Logitech
2010-08-07 14:33 . 2004-08-03 22:57	54272	-c--a-w-	c:\windows\system32\dllcache\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 22:57	54272	----a-w-	c:\windows\system32\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 21:10	78464	-c--a-w-	c:\windows\system32\dllcache\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:10	78464	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:08	31616	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-08-07 14:33 . 2004-08-03 21:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-08-07 11:41 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-08-07 05:40 . 2010-08-07 05:40	--------	d-----w-	c:\programme\MSXML 6.0
2010-08-06 17:11 . 2010-08-06 17:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-08-06 16:31 . 2009-11-25 21:03	61952	----a-w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
2010-08-06 14:37 . 2010-08-07 18:51	--------	d-----w-	c:\dokumente und einstellungen\fagus\Tracing
2010-08-06 14:34 . 2010-08-06 14:34	--------	d-----w-	c:\programme\Microsoft
2010-08-06 14:34 . 2010-08-06 14:34	--------	d-----w-	c:\programme\Windows Live SkyDrive
2010-08-06 14:34 . 2010-08-06 14:34	--------	d-----w-	c:\programme\Windows Live
2010-08-06 14:31 . 2010-08-06 14:31	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2010-08-06 14:13 . 2010-08-06 14:13	--------	d-----w-	c:\windows\ServicePackFiles

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 16:24 . 2010-08-06 13:15	16608	----a-w-	c:\windows\gdrv.sys
2010-08-11 19:46 . 2010-08-11 19:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-08-08 18:52 . 2010-08-07 15:22	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-08-07 23:22 . 2004-08-04 10:00	80108	----a-w-	c:\windows\system32\perfc007.dat
2010-08-07 23:22 . 2004-08-04 10:00	448800	----a-w-	c:\windows\system32\perfh007.dat
2010-08-07 16:01 . 2010-08-06 13:06	--------	d-----w-	c:\programme\Iminent
2010-08-07 11:38 . 2010-08-06 13:07	12912	----a-w-	c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-07 05:43 . 2010-08-07 05:43	--------	d-----w-	c:\programme\MSBuild
2010-08-07 05:43 . 2010-08-07 05:43	--------	d-----w-	c:\programme\Reference Assemblies
2010-08-06 13:37 . 2010-08-06 13:37	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Avira
2010-08-06 13:24 . 2010-08-06 13:22	--------	d-----w-	c:\programme\Realtek
2010-08-06 13:24 . 2010-08-06 13:24	--------	d-----w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\InstallShield
2010-08-06 13:22 . 2010-08-06 13:22	315392	----a-w-	c:\windows\HideWin.exe
2010-08-06 13:18 . 2010-08-06 13:18	--------	d-----w-	c:\programme\Intel
2010-08-06 13:17 . 2010-08-06 13:17	--------	d-----w-	c:\programme\GIGABYTE
2010-08-06 13:07 . 2010-08-06 13:07	--------	d-----w-	c:\programme\Conduit
2010-08-06 12:55 . 2010-08-06 12:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-08-06 12:43 . 2010-08-06 13:17	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-06 12:43 . 2010-08-06 13:17	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2010-08-06 12:39 . 2010-08-06 11:52	87263	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-06 12:31 . 2010-08-06 12:31	0	----a-w-	c:\windows\nsreg.dat
2010-08-06 11:53 . 2010-08-06 11:53	--------	d-----w-	c:\programme\microsoft frontpage
2010-08-06 11:51 . 2010-08-06 11:51	--------	d-----w-	c:\programme\Online-Dienste
2010-08-06 11:50 . 2010-08-06 11:50	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-08-06 11:49 . 2010-08-06 11:49	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2010-07-22 23:41 . 2010-08-08 10:05	98304	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\nssdbm3.dll
2010-07-22 23:41 . 2010-08-08 10:05	155648	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\softokn3.dll
2010-06-14 14:30 . 2010-08-06 11:50	743936	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-08 09:29 . 2010-08-06 13:07	52224	----a-w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-06-08 09:29 . 2010-08-06 13:07	101376	----a-w-	c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-27 16875008]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 2808832]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2009-06-02 06:59	5451536	----a-w-	c:\programme\Logitech\Logitech Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-05-08 08:35	2780432	----a-w-	c:\programme\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12	26192168	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-08-06 23:58	1238352	----a-w-	d:\steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Steam\\Steam.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\avira\AntiVir Desktop\sched.exe [06.08.2010 14:55 135336]
R2 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\EnergySaver\GSvr.exe [06.08.2010 15:17 80392]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-12 19:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-08-12  19:14:41
ComboFix-quarantined-files.txt  2010-08-12 17:14
ComboFix2.txt  2010-08-12 16:27

Vor Suchlauf: 6 Verzeichnis(se), 41.055.858.688 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 41.045.757.952 Bytes frei

- - End Of File - - 319582DAC8EBAA5D953397F6FA7CBF7F

das mit dem autostart,kannst du mir sagen was da die hieroglyphen zu suchen haben?

derfagus · 12.08.2010, 19:41

habe mir schonmal windows mediaplayer 11 runtergeladen da kam diese meldung von avira -.-

In der Datei 'C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

als ich internet explorer 8 runtergeladen habe fast dasselbe..

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100812-201841-AF5C864E\ARK147.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

scheint noch irgendwas drauf zu sein was diesen trojaner runterzuladen versucht sobald ich etwas downloade oder sehe ich das falsch,weil 2 mal derselbe fund bei unterschiedlichen downloads wirkt mir komisch...

vielen dank für deine hilfe,ist echt top das es leute wie euch gibt die einem helfen

cosinus · 12.08.2010, 20:12

Zitat:

In der Datei 'C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

Eigentlich ist das von Logitech

Hast Du AntiVir zu scharf eingestellt?

derfagus · 12.08.2010, 20:23

hmm habs nicht verändert nur nochmal geupdatet -.-
und kam auch direkt nach dem download,vielleicht beim dowloaden was mit auf die platte gesprungen??
oh man, is dit alles kompliziert -.-

und direkt beim anderen download das gleiche.....verstehe das nicht, hab sogar bei den links die du mir vorhin geschickt hast die winsowsdienste angepasst und alles -.-

edit: ich leg mich schlafen, morgen noch zwischenprüfung -.-

derfagus · 13.08.2010, 06:08

was ist jetzt noch zu machen und war überhaupt etwas zu erkennen was auf eine infektion hinweist??

cosinus · 13.08.2010, 07:32

Das hier meinte ich. Wie ist AntiVir da bei Dir eingestellt?

derfagus · 13.08.2010, 20:35

hier die einstellung:

hxxp://www.pic-upload.de/view-6705240/avira.jpg.html

hab aber nix umgestellt !!!

cosinus · 14.08.2010, 15:12

Du darfst natürlich nciht alle aktivieren!! Warum machst Du das auch, nimm da die Standardwerte!

derfagus · 14.08.2010, 15:28

habs nur installiert und geupdatet^^
nix aktiviert, aber ich mach die normalen einstellungen

warum sind die anderen nicht zu empfehlen??

cosinus · 14.08.2010, 18:05

Zitat:

warum sind die anderen nicht zu empfehlen??

Siehst Du doch oben! Dann meldet er auch zB Apps von Logitech als Virus!

derfagus · 14.08.2010, 18:22

hmm ja mag sein, aber die beiden sind in nem tmp verzeichnis gewesen einer in windows der andere bei avira, und ich gebe zu bedenken das es jeweils bei einem download die viren gemeldet hat nicht im normalbetrieb, das kommt mir etwas seltsam vor

cosinus · 14.08.2010, 18:26

Dennoch war AntiVir zu scharf eingestellt, sonst hätte er nichts von Logitech "erkannt"!

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

13.08.2010, 07:32	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Weiss nichmehr weiter -.- Das hier meinte ich. Wie ist AntiVir da bei Dir eingestellt? __________________ Logfiles bitte immer in CODE-Tags posten

14.08.2010, 15:12	#26
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Weiss nichmehr weiter -.- Du darfst natürlich nciht alle aktivieren!! Warum machst Du das auch, nimm da die Standardwerte! __________________ Logfiles bitte immer in CODE-Tags posten

Weiss nichmehr weiter -.-

Log-Analyse und Auswertung: Weiss nichmehr weiter -.-