Whistler Black Internet Befall

Nicolas · 07.09.2010, 20:44

Hallo zusammen und guten Abend,
wie es aussieht ist mein Laptop wohl mit dem Whistler Wurm befallen und so komme auch ich in den genuss dieser wunderbaren Schlachtenmusik.
Hier ist schon einmal das log-file von mbr-check:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000001fc

Kernel Drivers (total 136):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xF7A12000 \WINDOWS\system32\KDCOM.DLL
  0xF7922000 \WINDOWS\system32\BOOTVID.dll
  0xF7340000 sptd.sys
  0xF7A14000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF7328000 \WINDOWS\System32\Drivers\SPTD0989.SYS
  0xF72F9000 ACPI.sys
  0xF72E8000 pci.sys
  0xF7512000 isapnp.sys
  0xF7522000 ohci1394.sys
  0xF7532000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7926000 compbatt.sys
  0xF792A000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF7ADA000 pciide.sys
  0xF7792000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7542000 MountMgr.sys
  0xF72C9000 ftdisk.sys
  0xF792E000 ACPIEC.sys
  0xF7ADB000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF779A000 PartMgr.sys
  0xF7552000 VolSnap.sys
  0xF72B1000 atapi.sys
  0xF71DB000 iaStor.sys
  0xF7562000 viamraid.sys
  0xF71C3000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xF7572000 disk.sys
  0xF7582000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF71A3000 fltmgr.sys
  0xF7191000 sr.sys
  0xF7592000 PxHelp20.sys
  0xF717A000 KSecDD.sys
  0xF7167000 WudfPf.sys
  0xF70DA000 Ntfs.sys
  0xF70AD000 NDIS.sys
  0xF7093000 Mup.sys
  0xF76A2000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF704F000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF6034000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF6020000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF704B000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xF5FF8000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF5E9B000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xF781A000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF5E77000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7822000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF5E63000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
  0xF76B2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF782A000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF5E34000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF7A36000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7832000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF76C2000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF76D2000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF76E2000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF5E11000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF5DC7000 \SystemRoot\System32\Drivers\vaxscsi.sys
  0xEE8F3000 \SystemRoot\System32\Drivers\dtscsi.sys
  0xF1D11000 \SystemRoot\System32\Drivers\tosrfcom.sys
  0xEEFB6000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7A60000 \SystemRoot\System32\Drivers\RootMdm.sys
  0xEEE89000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF1D01000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xEF866000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xEE8DC000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF479F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF476F000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xEEE81000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xEE8CB000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF475F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xEEE79000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xEEE71000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xEF426000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7A5A000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xEE86D000 \SystemRoot\system32\DRIVERS\update.sys
  0xEF04B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xEF416000 \SystemRoot\system32\DRIVERS\tosporte.sys
  0xEF406000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xAE3CC000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xAE3A8000 \SystemRoot\system32\drivers\portcls.sys
  0xEF3D6000 \SystemRoot\system32\drivers\drmk.sys
  0xEF3C6000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7A62000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7B94000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7A6C000 \SystemRoot\System32\Drivers\Beep.SYS
  0xEEB42000 \SystemRoot\System32\drivers\vga.sys
  0xF7A6E000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7A70000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xEEB3A000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xEEB32000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF4BE2000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAE375000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAE31C000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xAE2F4000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAE2CE000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xAE2AC000 \SystemRoot\System32\drivers\afd.sys
  0xEF3B6000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xEEB2A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xAE281000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xEF3A6000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xAE211000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xEF396000 \SystemRoot\System32\Drivers\Fips.SYS
  0xAE1EF000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7A78000 \??\D:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xEEB22000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xEEB12000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF7016000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xEEA15000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xEEB0A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF69B4000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xEE9A5000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF69A8000 \SystemRoot\System32\Drivers\dump_diskdump.sys
  0xF41B5000 \SystemRoot\System32\Drivers\dump_viamraid.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF701A000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7882000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xEE943000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF065000 \SystemRoot\System32\ati2cqag.dll
  0xBF0FE000 \SystemRoot\System32\atikvmag.dll
  0xBF182000 \SystemRoot\System32\atiok3x2.dll
  0xBF1CD000 \SystemRoot\System32\ati3duag.dll
  0xBF572000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xABFDA000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xF2826000 \SystemRoot\system32\plcndis5.sys
  0xF2298000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xABEAD000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF2439000 \SystemRoot\system32\drivers\sysaudio.sys
  0xABC50000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xAB4E1000 \SystemRoot\system32\DRIVERS\srv.sys
  0xAB0F7000 \SystemRoot\System32\Drivers\HTTP.sys
  0xAB158000 \??\C:\WINDOWS\system32\drivers\nhcDriver.sys
  0xAAC2A000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 51):
       0 System Idle Process
       4 System
     792 C:\WINDOWS\system32\smss.exe
     856 csrss.exe
     888 C:\WINDOWS\system32\winlogon.exe
     936 C:\WINDOWS\system32\services.exe
     948 C:\WINDOWS\system32\lsass.exe
    1128 C:\WINDOWS\system32\ati2evxx.exe
    1144 C:\WINDOWS\system32\svchost.exe
    1228 svchost.exe
    1384 C:\WINDOWS\system32\svchost.exe
    1428 C:\WINDOWS\system32\svchost.exe
    1492 svchost.exe
    1656 svchost.exe
    1888 C:\WINDOWS\system32\ati2evxx.exe
    1992 C:\WINDOWS\system32\spoolsv.exe
     192 D:\Programme\Avira\AntiVir Desktop\sched.exe
     612 C:\WINDOWS\explorer.exe
     692 svchost.exe
    1304 C:\WINDOWS\system32\rundll32.exe
    1320 C:\Programme\Java\jre6\bin\jusched.exe
    1352 D:\tools\DAEMON Tools\daemon.exe
    1360 C:\WINDOWS\RTHDCPL.exe
    1376 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    1412 D:\Programme\Notebook Hardware Control\nhc.exe
    1548 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    1596 D:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1636 C:\WINDOWS\system32\ctfmon.exe
    1648 C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE
    1796 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    1932 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
     204 D:\tools\Orbitdownloader\orbitdm.exe
     240 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
     260 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
     276 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
     360 C:\WINDOWS\system32\svchost.exe
     480 D:\Programme\Avira\AntiVir Desktop\avguard.exe
     528 C:\WINDOWS\system32\svchost.exe
    1868 svchost.exe
    1744 D:\tools\Orbitdownloader\orbitnet.exe
    2144 C:\Programme\Java\jre6\bin\jqs.exe
    2156 D:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2376 C:\WINDOWS\system32\svchost.exe
     440 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    1776 alg.exe
    1832 C:\Programme\Java\jre6\bin\jucheck.exe
    2556 D:\Programme\Firefox\firefox.exe
    3772 D:\Programme\Mozilla Thunderbird\thunderbird.exe
    3836 D:\Programme\Firefox\plugin-container.exe
    4084 C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
    2580 C:\Dokumente und Einstellungen\Nicolas\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000008`8b905a00  (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: WDCWD1200BEVS-07LAT0, Rev: 01.06M01
PhysicalDrive1 Model Number: WD5000BEV External, Rev: 1.75

      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!
            SHA1: 5BC2D49BF9CCE7B201493ABAB96D4FF43B9C6C2B
    465 GB  \\.\PhysicalDrive1   RE: Known-bad MBR code detected (Whistler / Black Internet)!
            SHA1: 5BC2D49BF9CCE7B201493ABAB96D4FF43B9C6C2B


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice:

ich wäre euch wirklich sehr dankbar wenn ihr mir helfen könnten mich von diesem todnervigem Wurm zu befreien.
Mfg
Nico

Swisstreasure · 07.09.2010, 20:52

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Nicolas · 07.09.2010, 21:46

wow, das war ja mal ne schnelle Antwort... besten Dank schon einmal
hier also der log-Bericht von ComboFix:

Code:

ATTFilter

ComboFix 10-09-07.01 - Nicolas 07.09.2010  22:28:07.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.613 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nicolas\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
\\.\PhysicalDrive1 - Bootkit Whistler was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
\\.\PhysicalDrive1 - Bootkit Whistler was found and disinfected
.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-07 bis 2010-09-07  ))))))))))))))))))))))))))))))
.

2010-08-31 15:45 . 2010-03-17 19:42	200704	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Miranda Fusion\profil\updater\backups\tipper.dll
2010-08-31 15:45 . 2009-08-22 16:47	59904	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Miranda Fusion\profil\updater\backups\svc_crshdmp.dll
2010-08-31 15:09 . 2010-06-20 02:21	214016	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Thunderbird\Profiles\i26xubyo.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll
2010-08-28 21:11 . 2010-01-22 11:11	62800	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
2010-08-22 14:55 . 2010-07-21 15:30	421888	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
2010-08-18 10:41 . 2003-03-13 12:58	81920	----a-w-	c:\windows\system32\plclib.dll
2010-08-18 10:41 . 2003-03-13 12:58	17018	----a-w-	c:\windows\system32\plcndis5.sys
2010-08-10 18:47 . 2010-08-10 18:47	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\PrivacIE
2010-08-10 18:46 . 2010-08-10 18:46	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 20:12 . 2010-02-12 17:50	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Orbit
2010-09-07 14:16 . 2009-09-16 21:11	22528	----a-w-	c:\windows\system32\drivers\nhcDriver.sys
2010-09-02 20:37 . 2009-09-20 13:43	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\vlc
2010-08-31 15:08 . 2009-09-15 17:32	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Thunderbird
2010-08-17 07:49 . 2004-08-04 12:00	85732	----a-w-	c:\windows\system32\perfc007.dat
2010-08-17 07:49 . 2004-08-04 12:00	462906	----a-w-	c:\windows\system32\perfh007.dat
2010-08-08 22:07 . 2009-09-20 14:58	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\dvdcss
2010-08-06 12:25 . 2010-08-06 12:25	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Miranda Fusion
2010-07-24 16:20 . 2009-09-14 19:52	77752	----a-w-	c:\dokumente und einstellungen\Nicolas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-24 16:14 . 2009-09-15 16:58	96384	----a-w-	c:\windows\system32\drivers\sptd0989.sys
2010-07-24 16:01 . 2009-09-14 17:55	76487	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-24 14:50 . 2010-07-24 14:50	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Malwarebytes
2010-07-24 14:49 . 2010-07-24 14:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-21 18:41 . 2010-07-21 18:41	--------	d-----w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Avira
2010-07-21 18:31 . 2010-07-21 18:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-07-21 15:26 . 2009-09-15 18:09	81984	----a-w-	c:\windows\system32\bdod.bin
2010-07-17 12:41 . 2009-09-15 17:15	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-07-06 19:31 . 2010-07-06 19:31	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-06 19:28 . 2010-07-06 19:28	56765	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-06 19:28 . 2010-07-06 19:28	56997	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-06 19:28 . 2010-07-06 19:28	57715	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-06 19:28 . 2010-07-06 19:28	53600	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	84062	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	57054	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	54166	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	57532	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	56458	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	54174	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-06 19:27 . 2010-07-06 19:27	54153	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-06 19:26 . 2010-07-06 19:26	54128	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-06 19:26 . 2010-07-06 19:26	54644	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-06 19:26 . 2010-07-06 19:26	57409	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-06 19:26 . 2010-07-06 19:26	54101	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-06 19:26 . 2010-07-06 19:26	52963	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-06 19:25 . 2010-07-06 19:25	54073	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-06 19:25 . 2010-07-06 19:25	56969	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-07-06 19:22 . 2010-07-06 19:22	144696	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-07-06 19:22 . 2010-07-06 19:28	895256	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-06 19:22 . 2010-07-06 19:28	1062184	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-06-30 12:28 . 2004-08-04 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 17:37 . 2010-06-24 17:37	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-06-24 12:22 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2005-10-06 03:08	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2005-05-10 00:17	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-09-14 17:53	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 10:08 . 2010-06-27 22:16	545280	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2010-06-14 10:08 . 2010-06-27 22:16	4687360	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\libs\cooliris192.dll
2010-06-14 10:08 . 2010-06-27 22:16	425984	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2010-06-14 10:08 . 2010-06-27 22:16	152064	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2010-06-14 10:08 . 2010-06-27 22:16	103424	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2010-06-14 10:08 . 2010-06-27 22:16	57856	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2010-06-14 10:08 . 2010-06-27 22:16	4687872	----a-w-	c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\piclens@cooliris.com\libs\cooliris190.dll
2010-06-14 07:41 . 2004-08-04 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"E06DXLRD_262651250"="c:\programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE" [2005-06-04 301776]
"Miranda Fusion"="d:\programme\MirandaFusion\mfstart.exe" [2010-02-14 918788]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-02-21 149280]
"DAEMON Tools"="d:\tools\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-27 16005120]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"NotebookHardwareControl"="d:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-25 61440]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10c.exe" [2009-07-18 257440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-1-17 1748992]
Orbit.lnk - d:\tools\Orbitdownloader\orbitdm.exe [2010-2-12 1805584]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50	1144104	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
2004-01-14 01:10	409600	----a-w-	c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47	31016	----a-w-	d:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn]
2006-11-16 14:17	94212	------w-	d:\program file\CyberLink\PowerCinema Linux\ion_install.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57	282624	----a-w-	d:\player\Quick Time\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-04-15 14:13	45056	----a-w-	d:\player\Power DVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12	26192168	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-07-01 16:37	37888	----a-w-	d:\player\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Programme\\Zattoo\\zattood.exe"=
"d:\\Spiele\\Splinter Cell Chaos Theory\\System\\splintercell3.exe"=
"d:\\tools\\Orbitdownloader\\orbitdm.exe"=
"d:\\tools\\Orbitdownloader\\orbitnet.exe"=
"d:\\Spiele\\Steam\\Steam.exe"=
"d:\\Programme\\Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\MirandaFusion\\miranda32.exe"=
"d:\\tools\\devolo\\informer\\devinf.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2010 20:31 135336]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [18.08.2010 12:41 17018]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2010 21:23 135664]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [19.12.2009 14:51 223128]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.09.2009 18:58 643072]
.
Inhalt des "geplante Tasks" Ordners

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-06 19:23]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-06 19:23]

2010-09-07 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2009-09-30 09:40]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Download by Orbit - d:\tools\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - d:\tools\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - d:\tools\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - d:\tools\Orbitdownloader\orbitmxt.dll/202
IE: Easy-WebPrint - Drucken - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - d:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - component: c:\dokumente und einstellungen\Nicolas\Anwendungsdaten\Mozilla\Firefox\Profiles\teveqb37.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: d:\programme\Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: d:\tools\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabXpcom.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: d:\player\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin2.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin3.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin4.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin5.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin6.dll
FF - plugin: d:\player\Quick Time\Plugins\npqtplugin7.dll
FF - plugin: d:\player\VLC\npvlc.dll
FF - plugin: d:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
d:\programme\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
d:\programme\Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-BDAgent - d:\programme\BitDefender\bdagent.exe
MSConfigStartUp-BitDefender Antiphishing Helper - d:\programme\BitDefender\IEShow.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - d:\player\DivX\DivXCodecUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-07 22:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,98,54,e2,fe,29,0d,d4,47,82,8b,10,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,98,54,e2,fe,29,0d,d4,47,82,8b,10,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(820)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-09-07  22:37:52
ComboFix-quarantined-files.txt  2010-09-07 20:37

Vor Suchlauf: 9 Verzeichnis(se), 18.978.336.768 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 20.495.970.304 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 8721D24DBD130EEA0CC989122715D50C

liest sich ja schon mal ganz gut, so von wegen desinfected und so...
Ansonsten wie gesagt vielen Dank
mfg
Nico

Whistler Black Internet Befall

Plagegeister aller Art und deren Bekämpfung: Whistler Black Internet Befall