Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich.

WaltJabsco

Hallo zusammen !
Brauche dringend Eure Hilfe…
Habe mir irgendwie einen Virus (vermutlich ein (oder mehrere?) Rootkit(s) ) eingefangen.
Verdächtiges Symptom : Beim Anklicken von verdächtig scheinenden (zB sisidex.sys; s.u.), aber auch tendenziell unverdächtigen Dateien oder auch beim Nutzen der Suchfunktion fährt der PC erst runter und fährt dann mit der Warnmeldung „System wird nach schwerwiegendem Fehler ausgeführt.“ wieder hoch.

Dasselbe Phänomen dann bei der Rootkit-Suche mit Avira AntiVir Personal – Free Antivirus. Läuft erst eine Zeit durch, aber sobald er tiefer in den Registry-Bereich eindringt, siehe oben…

Beim Suchlauf mit GMER habe ich dann ein ähnliches Problem. Erst startet das Programm den Quickscan und findet auch (siehe meine logfiles). Starte ich aber über den Funden einen neuen Scan, listet das Programm noch mehr Funde genauer auf. Es kommt aber nicht zu einem abschließenden Logfile, weil der PC dann erneut runter- bzw hochfährt.

Bei Hinweisen bitte berücksichtigen :
Bin kein PC-Profi (sonst wär’ mir der !&%§ wohl auch nicht passiert), bei Erklärungen und vorausgesetztem Hintergrundwissen bitte beachten…

Hier diverse Logfiles zum drüberschauen :

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-08-22 17:28:27
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys

---- Threads - GMER 1.0.15 ----

Thread System [4:3716] F284C30C

---- EOF - GMER 1.0.15 ----

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-08-24 17:29:05
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)
AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys

---- EOF - GMER 1.0.15 ----

Die beiden folgenden Logfiles sind unvollständige zwischengespeicherte Logfiles im Deepscan, letzterer kurz vorm Runterfahren...

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-26 13:43:47
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- System - GMER 1.0.15 ----

SSDT F8D47136 ZwCreateKey
SSDT F8D4712C ZwCreateThread
SSDT F8D4713B ZwDeleteKey
SSDT F8D47145 ZwDeleteValueKey
SSDT F8D4714A ZwLoadKey
SSDT F8D47118 ZwOpenProcess
SSDT F8D4711D ZwOpenThread
SSDT F8D47154 ZwReplaceKey
SSDT F8D4714F ZwRestoreKey
SSDT F8D47140 ZwSetValueKey
SSDT F8D47127 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7A85900]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7873340, 0x130AAF, 0xF8000020]
.text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys
Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys

AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-26 13:44:41
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- System - GMER 1.0.15 ----

SSDT F8D47136 ZwCreateKey
SSDT F8D4712C ZwCreateThread
SSDT F8D4713B ZwDeleteKey
SSDT F8D47145 ZwDeleteValueKey
SSDT F8D4714A ZwLoadKey
SSDT F8D47118 ZwOpenProcess
SSDT F8D4711D ZwOpenThread
SSDT F8D47154 ZwReplaceKey
SSDT F8D4714F ZwRestoreKey
SSDT F8D47140 ZwSetValueKey
SSDT F8D47127 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7A85900]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7873340, 0x130AAF, 0xF8000020]
.text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys
Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys

AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@BarID 59416
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@XPos -2
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@YPos -2
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@Docking 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockLeftPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockTopPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockRightPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockBottomPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatStyle 8192
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatXPos -2147483648
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatYPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\View@Show\20humbnain 1


Norman TDSS Cleaner
Version 1.9.3
Copyright © 1990 - 2010, Norman ASA. Built 2010/05/25 11:56:03

Norman Scanner Engine Version: 6.04.08
Nvcbin.def Version: 6.04.00, Date: 2010/05/25 11:56:03, Variants: 57644

Scan started: 2010/08/24 14:57:00

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3
Logged on user: COMPUTERNAME\Mein_Name


Running anti-TDSS module:

No TDSS infection detected

TDSS scan complete. Will now scan for related malware

Scanning bootsectors...

Number of sectors found: 2
Number of sectors scanned: 2
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 50ms


Scanning running processes and process memory...

Number of processes/threads found: 3111
Number of processes/threads scanned: 3111
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 45s


Scanning file system...

Scanning: prescan

Scanning: C:\WINDOWS\system32\drivers\*

C:\WINDOWS\system32\drivers\xofjweogvvlv.sys (Infected with W32/Rootkit.AMIO)
Failed to remove driver: xofjweogvvlv
Deleted file

Running post-scan cleanup routine:

Number of files found: 243263
Number of archives unpacked: 1629
Number of files scanned: 243236
Number of files not scanned: 27
Number of files skipped due to exclude list: 0
Number of infected files found: 1
Number of infected files repaired/deleted: 1
Number of infections removed: 1
Total scanning time: 1h 39m 9s

ComboFix 10-08-23.02 – Mein_Name 24.08.2010 16:44:23.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\ Mein_Name \Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_$SYS$ARIES
-------\Legacy_$SYS$DRMSERVER
-------\Legacy_CD_PROXY


((((((((((((((((((((((( Dateien erstellt von 2010-07-24 bis 2010-08-24 ))))))))))))))))))))))))))))))
.

2010-08-22 16:45 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-08-22 16:43 . 2010-08-22 16:43 -------- d-----w- c:\programme\Panda Security
2010-08-22 15:03 . 2007-07-06 22:39 19248 ----a-w- c:\windows\system32\drivers\rspsc32.sys
2010-08-22 15:03 . 2010-08-22 15:03 -------- d-----w- c:\programme\RootKit Hook Analyzer
2010-07-31 16:04 . 2010-07-31 16:04 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 14:58 . 2008-06-26 14:44 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\OpenOffice.org2
2010-08-24 10:49 . 2007-05-23 19:23 50398 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat
2010-08-23 13:01 . 2006-04-21 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-22 17:30 . 2010-05-17 18:00 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\vlc
2010-08-22 12:50 . 2010-03-28 16:52 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\foobar2000
2010-08-14 21:13 . 2010-08-14 21:13 503808 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcp71.dll
2010-08-14 21:13 . 2010-08-14 21:13 12800 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-d3d.dll
2010-08-14 21:13 . 2010-08-14 21:13 61440 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-sse.dll
2010-08-14 21:13 . 2010-08-14 21:13 499712 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\jmc.dll
2010-08-14 21:13 . 2010-08-14 21:13 348160 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcr71.dll
2010-08-14 21:13 . 2007-12-06 07:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-14 21:12 . 2007-12-06 08:25 -------- d-----w- c:\programme\Java
2010-07-22 13:28 . 2006-12-08 19:49 -------- d-----w- c:\programme\Google
2010-07-17 03:00 . 2010-04-16 14:13 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-01 16:09 . 2010-06-09 15:04 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-06-09 15:04 . 2010-06-09 15:04 52224 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-06-09 15:04 . 2010-06-09 15:04 101376 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2007-07-17 08:03 . 2007-07-17 08:03 1057656 ----a-w- c:\programme\dBpoweramp-Codec-m4a.exe
2007-07-17 07:59 . 2007-07-17 07:59 4215160 ----a-w- c:\programme\dMC-r12[1].2.exe
2004-08-17 16:16 . 2007-05-23 19:09 11322768 ------w- c:\programme\RealPlayer10GOLD_de.exe
2002-09-29 12:53 . 2005-01-03 18:19 1799685 ------w- c:\programme\QuickVCD.exe
2007-01-09 17:56 . 2007-01-09 17:56 8 --sh--r- c:\windows\system32\270A9C62DD.sys
2007-01-09 17:56 . 2007-01-09 17:56 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-07-16 17:40 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\programme\Ahead\Nero BackItUp\nbj.exe" [2004-09-24 1916928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-02-27 3022848]
"nwiz"="nwiz.exe" [2004-10-29 921600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-02-27 49152]
"WinampAgent"="c:\programme\Winamp2.9_Deutsch\Winampa.exe" [2003-04-17 12288]
"FLMOFFICE4DMOUSE"="c:\programme\Labtec\Desktop\V5.1\moffice.exe" [2006-12-24 958464]
"OFFICEKB"="c:\programme\Labtec\Desktop\V5.1\kbdap32a.exe" [2006-12-24 387584]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-09-13 1450096]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-08-03 98304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Lexmark 2200 Series"="c:\programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\dokumente und einstellungen\ Mein_Name \Startmen�\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SoulseekNS\\slsk.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.08.2010 18:45 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.07.2009 13:35 108289]
R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [03.01.2005 20:40 3712]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [22.07.2010 15:20 136176]
S3 00f3b19d-b092-4bec-93e7-dd8faa798eac;00f3b19d-b092-4bec-93e7-dd8faa798eac;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 1a5B;1a5B;\??\c:\windows\system32\1a5B.sys --> c:\windows\system32\1a5B.sys [?]
S3 2625;2625;\??\c:\windows\system32\2625.sys --> c:\windows\system32\2625.sys [?]
S3 5be8;5be8;\??\c:\windows\system32\5be8.sys --> c:\windows\system32\5be8.sys [?]
S3 8aeA;8aeA;\??\c:\windows\system32\8aeA.sys --> c:\windows\system32\8aeA.sys [?]
S3 a546;a546;\??\c:\windows\system32\a546.sys --> c:\windows\system32\a546.sys [?]
S3 bbe9;bbe9;\??\c:\windows\system32\bbe9.sys --> c:\windows\system32\bbe9.sys [?]
S3 d194;d194;\??\c:\windows\system32\d194.sys --> c:\windows\system32\d194.sys [?]
S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [17.05.2010 19:37 23600]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.06.2007 00:44 1527900]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.04.2010 22:55 38224]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\5.tmp --> c:\windows\system32\5.tmp [?]
S3 RSPSC;RSPSC;c:\windows\system32\drivers\rspsc.sys [26.05.2007 00:21 9472]
S3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [02.01.2005 20:05 15104]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [17.06.2007 00:43 544768]
S3 WJB;WJB;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe [?]
S4 BVOUMSUD;BVOUMSUD;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe [?]
S4 KCQO;KCQO;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe [?]
.
Inhalt des "geplante Tasks" Ordners

2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20]

2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.sport1.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\
FF - component: c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKU-Default-Run-Symantec NetDriver Warning - c:\progra~1\SYMNET~1\SNDWarn.exe
AddRemove-Audacity_is1 - c:\programme\Audacity\unins000.exe
AddRemove-HijackThis - c:\dokumente und einstellungen\ Mein_Name \Eigene Dateien\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 16:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\5.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\303\Shel-**]
"Rev"=dword:00000000
"ColI+fo"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,ff,df,df,fd,0f,
00,04,00,21,00,10,00,28,00,3c,00,00,00,00,00,01,00,00,00,03,00,00,00,03,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3496)
c:\programme\Labtec\Desktop\V5.1\MOUDL32A.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Ahead\InCD\InCDsrv.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Labtec\Desktop\V5.1\MOUSE32A.EXE
c:\programme\Lexmark 2200 Series\lxbvbmon.exe
c:\programme\OpenOffice.org 2.2\program\soffice.exe
c:\programme\OpenOffice.org 2.2\program\soffice.BIN
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-24 17:06:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-24 15:06

Vor Suchlauf: 213.549.056 Bytes frei
Nach Suchlauf: 321.200.128 Bytes frei

- - End Of File - - 40832EED506C30AA9CA55CC8D4C4A266

HiJackthis Logfile:
--- --- ---

HiJackthis Logfile:
--- --- ---
HiJackthis Logfile:
--- --- ---

Rootkit Hook Analyzer : findet nix
Avira AntiVir Personal (auch zB im Komplettdurchlauf oder im abgesicherten Modus) : findet nix
F-Secure BlackLight : findet nix
McAfee Stinger : findet nix
McAfee Rootkit Detective : hatte einen Fund in : C:\System Volume Information\catalog.wci (keine Ahnung, ob das wirklich etwas Bedrohliches ist…)
Malwarebytes Anti Malware : findet nix
Spybot Search & Destroy : findet nix

Danke für die Mühe !