PC ist von Trojanern befallen, u.a. agent.fefk

Blümchen13 · 25.09.2010, 17:18

Hallo an alle Helfer

Ich habe ein Problem mit meinem PC, auf dem sich so wie´s aussieht gleich mehrere Trojaner eingenistet haben - anscheinend ist es beim Surfen im Netz passiert: 2 Tabs von Firefox waren geöffnet, u.a. Facebook, aber niemand hat am PC gearbeitet. Als dann die Arbeit fortgesetzt werden sollte, hat Avira bereits mehrere Viruswarnungen gesendet, beim Scan mit Malwarebytes wurden 9 Schädlinge gefunden...

Hier kommen die erforderlichen Protokolle - ich hoffe, jemand kann mir helfen uns sagen, was zu tun ist:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4681

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

24.09.2010 14:52:40
mbam-log-2010-09-24 (14-52-40).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125932
Laufzeit: 4 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Documents and Settings\

\My Documents\downloads\packupdate107_231(2).exe (Rogue.Installer) -> No action taken.
C:\Documents and Settings\

\My Documents\downloads\packupdate107_231.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 14:59 on 24/09/2010 (

)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Die Logfiles gmer, otl, extras folgen sogleich..

Vielen Dank!

Blümchen

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 24.09.2010 22:30:02 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Documents and Settings\:)\Desktop\MFTools
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 74,52 Gb Total Space | 34,87 Gb Free Space | 46,79% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SCHWARZERNEUER
Current User Name: :)
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.09.24 12:08:02 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\sabrina\Desktop\MFTools\OTL.exe
PRC - [2010.09.11 20:14:17 | 000,030,192 | ---- | M] (Google) -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
PRC - [2010.04.22 23:13:58 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 10:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 09:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.11.06 12:52:16 | 000,039,408 | ---- | M] (Google Inc.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2009.08.19 10:53:30 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.bin
PRC - [2009.08.19 10:52:28 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.exe
PRC - [2008.04.14 02:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2002.04.12 01:00:00 | 000,057,344 | ---- | M] (brother Industries Ltd) -- C:\WINDOWS\system32\brsvc01a.exe
PRC - [2001.12.13 01:01:00 | 000,045,056 | ---- | M] (brother Industries Ltd) -- C:\WINDOWS\system32\brss01a.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.09.24 12:08:02 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\:)\Desktop\MFTools\OTL.exe
MOD - [2008.04.14 02:10:20 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - [2010.09.11 20:14:17 | 000,030,192 | ---- | M] (Google) [On_Demand | Stopped] -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe -- (GoogleDesktopManager-051210-111108)
SRV - [2010.04.22 23:13:58 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.03.07 20:10:25 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.02.24 09:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2002.04.12 01:00:00 | 000,057,344 | ---- | M] (brother Industries Ltd) [Auto | Running] -- C:\WINDOWS\system32\brsvc01a.exe -- (Brother XP spl Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\ds1410d.sys -- (DS1410D)
DRV - [2010.09.10 23:50:18 | 000,279,712 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2010.09.10 23:50:17 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2010.08.23 17:03:58 | 000,047,616 | ---- | M] (Aladdin Knowledge Systems) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\Haspnt.sys -- (Haspnt)
DRV - [2010.03.01 09:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 13:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.11.06 09:36:36 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.24 19:42:14 | 000,116,736 | ---- | M] (MagicISO, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mcdbus.sys -- (mcdbus)
DRV - [2009.02.13 13:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.12.11 11:24:20 | 004,959,232 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.04.16 17:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2006.11.27 17:33:54 | 000,019,968 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.11.27 17:33:50 | 000,058,368 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.11.24 15:47:50 | 000,040,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ET5Drv.sys -- (ET5Drv)
DRV - [2006.10.31 08:35:00 | 003,964,256 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.10.18 17:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2005.07.28 08:18:40 | 000,685,056 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2004.10.15 13:50:20 | 000,015,295 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrScnUsb.sys -- (BrScnUsb)
DRV - [2001.06.21 21:39:02 | 000,073,728 | ---- | M] (Rainbow Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel)
DRV - [2001.06.21 21:39:02 | 000,020,032 | R--- | M] (Rainbow Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SNTNLUSB.SYS -- (Sntnlusb)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.24 14:56:01 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.24 14:56:01 | 000,000,000 | ---D | M]
 
[2009.11.22 20:31:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\*\Application Data\mozilla\Extensions
[2010.01.12 01:59:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\*\Application Data\mozilla\Firefox\Profiles\2uon28wj.default\extensions
[2009.11.22 20:30:48 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2010.09.24 14:55:53 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.24 14:55:53 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.24 14:55:53 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.24 14:55:53 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.24 14:55:53 | 000,000,801 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2007.07.27 14:00:00 | 000,000,734 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\ETcall.exe ()
O4 - HKLM..\Run: [GEST]  File not found
O4 - HKLM..\Run: [Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Documents and Settings\sabrina\Start Menu\Programs\Startup\MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe File not found
O4 - Startup: C:\Documents and Settings\sabrina\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Documents and Settings\:)\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Documents and Settings\:)\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.11.05 17:06:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: SSHNAS -  File not found
 
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: SENTINEL - C:\WINDOWS\System32\SNTI386.DLL (Rainbow Technologies, Inc.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.09.24 12:16:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.09.24 12:15:11 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT
[2010.09.24 12:08:43 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip
[2010.09.24 12:05:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Desktop\MFTools
[2010.09.22 00:19:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.09.12 11:18:20 | 000,000,000 | --SD | C] -- C:\Documents and Settings\*\UserData
[2010.09.12 00:41:43 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\*\Recent
[2010.09.11 23:38:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Local Settings\Application Data\Help
[2010.09.11 23:38:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Application Data\Help
[2010.09.11 23:34:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Application Data\Avira
[2010.09.11 00:14:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2010.09.10 23:49:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\RegisteredPackages
[2010.09.10 23:24:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\DAEMON Tools Net
[2010.09.10 23:24:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Application Data\DAEMON Tools Net
[2010.09.01 18:54:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Google
[2010.09.01 13:57:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Local Settings\Application Data\Temp
[2010.09.01 13:52:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Google
[2010.08.28 16:16:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Application Data\Apple Computer
[2010.08.28 16:10:40 | 002,047,052 | ---- | C] (Macromedia, Inc.) -- C:\Documents and Settings\:)\Desktop\ufo-joe.exe
[2010.08.28 16:10:29 | 000,792,738 | ---- | C] (3rd Eye Solutions                                                                                                                                                                                                        ) -- C:\Documents and Settings\sabrina\Desktop\monkey-lander.exe
[2010.08.27 22:35:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Application Data\WinRAR
[2010.08.27 22:35:05 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
[2010.08.27 21:45:41 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
[2010.08.27 21:45:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Apple Computer
[2010.08.27 21:45:17 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Apple
[2010.08.27 21:45:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Local Settings\Application Data\Apple
[2010.08.27 21:45:09 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update
[2010.08.27 21:45:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Apple
[2010.08.27 21:44:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Local Settings\Application Data\Apple Computer
[2010.08.24 21:37:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\My Documents\Levi datei
[2010.08.23 17:12:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\Local Settings\Application Data\Autodesk
[2010.08.23 17:11:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\*\My Documents\maya
[2010.08.23 17:04:25 | 000,685,056 | ---- | C] (Aladdin Knowledge Systems Ltd.) -- C:\WINDOWS\System32\drivers\hardlock.sys
[2010.08.23 17:04:25 | 000,073,728 | ---- | C] (Rainbow Technologies, Inc.) -- C:\WINDOWS\System32\drivers\SENTINEL.SYS
[2010.08.23 17:04:25 | 000,049,664 | ---- | C] (Rainbow Technologies, Inc.) -- C:\WINDOWS\System32\SNTI386.DLL
[2010.08.23 17:04:25 | 000,018,432 | ---- | C] (Rainbow Technologies, Inc.) -- C:\WINDOWS\System32\RNBOVDD.DLL
[2010.08.23 17:04:22 | 000,020,032 | R--- | C] (Rainbow Technologies Inc.) -- C:\WINDOWS\System32\drivers\SNTNLUSB.SYS
[2010.08.23 17:04:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\RNBOSENT
[2010.08.23 17:04:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\:)\WINDOWS
[2010.08.23 17:03:58 | 000,047,616 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\Haspnt.sys
[2010.08.23 17:03:58 | 000,006,656 | ---- | C] (Aladdin Knowledge Systems.) -- C:\WINDOWS\System32\haspvdd.dll
[2010.08.23 17:01:35 | 000,000,000 | ---D | C] -- C:\Program Files\Autodesk
[2010.08.23 17:01:35 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Alias Shared
[2010.08.23 16:59:06 | 000,000,000 | ---D | C] -- C:\FLEXLM
 
========== Files - Modified Within 90 Days ==========
 
[2010.09.24 22:26:51 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.24 22:26:31 | 000,081,496 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.09.24 22:26:30 | 000,000,000 | ---- | M] () -- C:\WINDOWS\TempFile
[2010.09.24 22:26:29 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.24 22:26:28 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.24 22:26:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.24 14:57:52 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\*\defogger_reenable
[2010.09.24 14:57:00 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.24 14:53:36 | 003,145,728 | -H-- | M] () -- C:\Documents and Settings\*\NTUSER.DAT
[2010.09.24 14:53:36 | 000,000,178 | -HS- | M] () -- C:\Documents and Settings\*\ntuser.ini
[2010.09.24 12:15:11 | 000,000,611 | ---- | M] () -- C:\Documents and Settings\:)\Desktop\NTREGOPT.lnk
[2010.09.24 12:15:11 | 000,000,592 | ---- | M] () -- C:\Documents and Settings\*\Desktop\ERUNT.lnk
[2010.09.24 12:08:02 | 000,284,915 | ---- | M] () -- C:\Documents and Settings\*\Desktop\Gmer.zip
[2010.09.24 12:08:02 | 000,050,477 | ---- | M] () -- C:\Documents and Settings\*\Desktop\defogger.exe
[2010.09.22 00:31:39 | 000,000,696 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.15 11:35:25 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.09.11 23:58:08 | 000,038,400 | ---- | M] () -- C:\Documents and Settings\*\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.10 23:50:18 | 000,279,712 | ---- | M] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2010.09.10 23:50:17 | 000,025,888 | ---- | M] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2010.09.10 23:49:48 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2010.08.25 10:50:53 | 000,001,729 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Adobe Reader 9.lnk
[2010.08.24 21:17:19 | 000,000,804 | ---- | M] () -- C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk
[2010.08.23 17:03:58 | 000,047,616 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\Haspnt.sys
[2010.08.23 17:03:58 | 000,006,656 | ---- | M] (Aladdin Knowledge Systems.) -- C:\WINDOWS\System32\haspvdd.dll
[2010.08.23 17:03:58 | 000,002,620 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2010.08.23 17:03:58 | 000,000,383 | ---- | M] () -- C:\WINDOWS\System32\haspdos.sys
[2010.08.23 17:03:51 | 000,001,772 | ---- | M] () -- C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\Autodesk Maya 8.5.lnk
[2010.08.23 17:03:51 | 000,001,754 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Autodesk Maya 8.5.lnk
[2010.08.23 17:01:34 | 000,007,157 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\services
[2010.08.23 10:54:43 | 001,426,616 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.02 01:18:40 | 000,079,391 | ---- | M] () -- C:\Documents and Settings\:)\Desktop\Beratung älterer Menschen.docx
[2010.08.02 00:10:27 | 000,709,032 | ---- | M] () -- C:\Documents and Settings\:)\Desktop\HA Kommunikation mit Demenzpatienten.docx
 
========== Files Created - No Company Name ==========
 
[2010.09.24 15:00:20 | 000,293,376 | ---- | C] () -- C:\Documents and Settings\*\Desktop\gmer.exe
[2010.09.24 14:57:52 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\*\defogger_reenable
[2010.09.24 12:15:11 | 000,000,611 | ---- | C] () -- C:\Documents and Settings\*\Desktop\NTREGOPT.lnk
[2010.09.24 12:15:11 | 000,000,592 | ---- | C] () -- C:\Documents and Settings\*\Desktop\ERUNT.lnk
[2010.09.24 12:06:00 | 000,050,477 | ---- | C] () -- C:\Documents and Settings\*\Desktop\defogger.exe
[2010.09.24 12:05:58 | 000,284,915 | ---- | C] () -- C:\Documents and Settings\*\Desktop\Gmer.zip
[2010.09.15 11:34:05 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2010.09.10 23:50:18 | 000,279,712 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2010.09.10 23:50:17 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2010.09.01 13:52:32 | 000,001,096 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.01 13:52:31 | 000,001,092 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.24 21:17:19 | 000,000,804 | ---- | C] () -- C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk
[2010.08.23 17:04:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\TempFile
[2010.08.23 17:04:14 | 000,009,949 | ---- | C] () -- C:\WINDOWS\System32\SENTINEL.HLP
[2010.08.23 17:03:58 | 000,002,577 | ---- | C] () -- C:\WINDOWS\System32\config.hsp
[2010.08.23 17:03:58 | 000,000,383 | ---- | C] () -- C:\WINDOWS\System32\haspdos.sys
[2010.08.23 17:03:51 | 000,001,772 | ---- | C] () -- C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\Autodesk Maya 8.5.lnk
[2010.08.23 17:03:51 | 000,001,754 | ---- | C] () -- C:\Documents and Settings\All Users\Desktop\Autodesk Maya 8.5.lnk
[2010.08.02 01:23:34 | 000,079,391 | ---- | C] () -- C:\Documents and Settings\*\Desktop\Beratung älterer Menschen.docx
[2010.08.02 00:36:11 | 000,709,032 | ---- | C] () -- C:\Documents and Settings\*\Desktop\HA Kommunikation mit Demenzpatienten.docx
[2010.03.07 21:02:21 | 000,038,400 | ---- | C] () -- C:\Documents and Settings\*\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.11.22 21:04:09 | 000,000,462 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.11.22 21:04:09 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2009.11.22 21:04:09 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2006.10.31 08:35:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.10.31 08:35:00 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.10.31 08:35:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.10.31 08:35:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.10.31 08:35:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.10.31 08:35:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.10.31 08:35:00 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
 
========== LOP Check ==========
 
[2010.09.10 23:25:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\DAEMON Tools Net
[2010.09.10 23:25:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\:)\Application Data\DAEMON Tools Net
[2009.11.22 21:10:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\:)\Application Data\gtk-2.0
[2010.01.21 23:12:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\:)\Application Data\OpenOffice.org
[2010.01.12 02:09:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\:)\Application Data\SoftGrid Client
[2010.01.12 02:01:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\:)\Application Data\TP
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2009.11.05 17:06:34 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2009.11.06 09:09:12 | 000,000,223 | RHS- | M] () -- C:\boot.ini
[2009.11.05 17:06:34 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.11.06 09:10:21 | 000,000,206 | ---- | M] () -- C:\csb.log
[2009.11.05 17:06:34 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.11.05 17:06:34 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2007.07.27 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.01.03 20:28:02 | 000,250,048 | RHS- | M] () -- C:\ntldr
[2010.09.24 22:26:24 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
[2009.11.06 09:10:21 | 000,001,530 | ---- | M] () -- C:\RHDSetup.log
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009.11.05 17:06:13 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2004.02.09 01:00:00 | 000,026,285 | ---- | M] (Brother Industries ,Ltd ) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\brmfpp1.dll
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.11.05 23:20:46 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.11.05 23:20:46 | 000,659,456 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.11.05 23:20:46 | 000,880,640 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 02:12:08 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=B26B135FF1B9F60C9388B4A7D16F600B -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 02:12:10 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=2CCC474EB85CEAA3E1FA1726580A3E5A -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 02:12:10 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=9789E95E1D88EEB4B922BF3EA7779C28 -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 02:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) MD5=12896823FB95BFB3DC9B46BCAEDC9923 -- C:\WINDOWS\explorer.exe
[2008.04.14 02:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) MD5=12896823FB95BFB3DC9B46BCAEDC9923 -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007.07.27 14:00:00 | 001,032,192 | ---- | M] (Microsoft Corporation) MD5=A0732187050030AE399B241436565E64 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2007.07.27 14:00:00 | 000,506,880 | ---- | M] (Microsoft Corporation) MD5=051A52001D625F316CE81A539BD25192 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 02:12:39 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=ED0EF0A136DEC83DF69F04118870003E -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 02:12:39 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=ED0EF0A136DEC83DF69F04118870003E -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-09-15 09:35:29
< End of report >

--- --- ---

Code:

ATTFilter

 
Computer Name: SCHWARZERNEUER
Current User Name: *
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Autodesk\Maya8.5\bin\maya.exe" = C:\Program Files\Autodesk\Maya8.5\bin\maya.exe:*:Enabled:Maya -- (Autodesk)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0046FA01-C5B9-4985-BACB-398DC480FC05}" = Adobe Photoshop CS3
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{1ADE23D7-7A1E-4AEC-BA5D-EB8A01BED943}" = DeepBurner v1.8.0.224
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3EE1008C-11A1-4F4F-8DB7-27573924DE78}" = DMIView B7.0108.01
"{51846830-E7B2-4218-8968-B77F0FF475B8}" = Adobe Color EU Extra Settings
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{802771A9-A856-4A41-ACF7-1450E523C923}" = Adobe XMP Panels CS3
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{95655ED4-7CA5-46DF-907F-7144877A32E5}" = Adobe Color NA Recommended Settings
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A1E0E88A-F5E9-4414-A0D7-31940E965EC5}" = Maya 8.5
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}" = Apple Application Support
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D1BB4446-AE9C-4256-9A7F-4D46604D2462}" = Adobe Setup
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe_2ac78060bc5856b0c1cf873bb919b58" = Adobe Photoshop CS3
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"EasyTune5" = EasyTune5
"ERUNT_is1" = ERUNT 1.1j
"Google Desktop" = Google Desktop
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.5.13)" = Mozilla Firefox (3.5.13)
"NVIDIA Drivers" = NVIDIA Drivers
"Rainbow Sentinel Driver" = Sentinel System Driver
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.7
"WinRAR archiver" = WinRAR archiver
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 31.08.2010 03:03:54 | Computer Name = SCHWARZERNEUER | Source = ESENT | ID = 490
Description = svchost (1100) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 08.09.2010 14:10:59 | Computer Name = SCHWARZERNEUER | Source = ESENT | ID = 490
Description = svchost (1100) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 11.09.2010 18:36:02 | Computer Name = SCHWARZERNEUER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sch.exe, Version 1.2.7.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x02c8024f.
 
Error - 12.09.2010 13:07:37 | Computer Name = SCHWARZERNEUER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://w*w.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
 
Error - 12.09.2010 13:07:37 | Computer Name = SCHWARZERNEUER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://w*w.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
 
Error - 12.09.2010 18:35:58 | Computer Name = SCHWARZERNEUER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sch.exe, Version 1.2.7.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x02c8024f.
 
Error - 14.09.2010 15:22:11 | Computer Name = SCHWARZERNEUER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sch.exe, Version 1.2.7.0, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x0001326e.
 
Error - 15.09.2010 05:11:29 | Computer Name = SCHWARZERNEUER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sch.exe, Version 1.2.7.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x02c8024f.
 
Error - 15.09.2010 05:58:04 | Computer Name = SCHWARZERNEUER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sch.exe, Version 1.2.7.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x02c8024f.
 
Error - 24.09.2010 06:06:59 | Computer Name = SCHWARZERNEUER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Load.exe, Version 3.3.6.1, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 24.09.2010 06:11:16 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7034
Description = Dienst "BrSplService" wurde unerwartet beendet. Dies ist bereits 1
Mal passiert.
 
Error - 24.09.2010 06:11:17 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7034
Description = Dienst "##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" wurde
unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 24.09.2010 06:11:17 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 24.09.2010 06:13:06 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DS1410D" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
 
Error - 24.09.2010 06:13:06 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 24.09.2010 08:54:28 | Computer Name = SCHWARZERNEUER | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
 
Error - 24.09.2010 08:54:34 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DS1410D" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
 
Error - 24.09.2010 09:06:27 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DS1410D" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
 
Error - 24.09.2010 09:09:44 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DS1410D" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
 
Error - 24.09.2010 16:26:31 | Computer Name = SCHWARZERNEUER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DS1410D" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
 
 
< End of report >

Das Logfile von GMER ist so groß, dass es weder in dieses Nachrichtenfenster passt noch als Anhang gepostet werden kann - was mache ich jetzt am besten?

cosinus · 30.09.2010, 17:42

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Blümchen13 · 02.10.2010, 00:25

Hallo Arne,

ich habe jetzt nochmal einen kompletten Scan mit Malwarebytes gemacht (nachdem ich alle Schritte mit Malwarebytes-QuickScan-, erunt, defogger, gmer und otl wie in der Anleitung beschrieben durchgeführt habe).

Malwarebyte hat beim Vollscan (im Gegensatz zum Quickscan) keine infizierten Elemente mehr gefunden. Heißt das jetzt Entwarnung?

Hier kommt das Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4726

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.10.2010 13:31:22
mbam-log-2010-10-01 (13-31-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 215302
Laufzeit: 51 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Viele Grüße

Blümchen

cosinus · 03.10.2010, 12:36

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Blümchen13 · 04.10.2010, 10:45

So, habe Combo-Fix gemäß der Anleitung ausgeführt.

Hier kommt das Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-03.01 - sabrina 04.10.2010  10:54:07.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.1983.1581 [GMT 2:00]
Running from: c:\documents and settings\**\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((((   Files Created from 2010-09-04 to 2010-10-04  )))))))))))))))))))))))))))))))
.

2010-09-27 09:14 . 2010-09-27 14:25	--------	d-----w-	c:\program files\Panda Security
2010-09-24 10:15 . 2010-09-24 10:15	--------	d-----w-	c:\program files\ERUNT
2010-09-21 22:19 . 2010-09-21 22:20	--------	d-----w-	c:\windows\system32\NtmsData
2010-09-12 09:18 . 2010-09-12 09:18	--------	d-s---w-	c:\documents and settings\**\UserData
2010-09-11 21:38 . 2010-09-11 21:38	--------	d-----w-	c:\documents and settings\**\Local Settings\Application Data\Help
2010-09-11 21:34 . 2010-09-11 21:34	--------	d-----w-	c:\documents and settings\**\Application Data\Avira
2010-09-10 22:14 . 2010-09-10 22:14	--------	d-----w-	c:\windows\Logs
2010-09-10 21:50 . 2010-09-10 21:50	279712	----a-w-	c:\windows\system32\drivers\atksgt.sys
2010-09-10 21:50 . 2010-09-10 21:50	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2010-09-10 21:24 . 2010-09-10 21:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Net
2010-09-10 21:24 . 2010-09-10 21:25	--------	d-----w-	c:\documents and settings\**\Application Data\DAEMON Tools Net

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-04 08:46 . 2009-11-22 18:32	--------	d-----w-	c:\program files\CCleaner
2010-10-03 18:43 . 2009-11-06 10:49	--------	d-----w-	c:\program files\Google
2010-09-21 22:32 . 2009-11-22 18:34	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-04 08:24 . 2010-01-21 21:13	1	----a-w-	c:\documents and settings\**\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-28 14:16 . 2010-08-28 14:16	--------	d-----w-	c:\documents and settings\**\Application Data\Apple Computer
2010-08-27 19:46 . 2010-08-27 19:45	--------	d-----w-	c:\program files\QuickTime
2010-08-27 19:45 . 2010-08-27 19:45	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple Computer
2010-08-27 19:45 . 2010-08-27 19:45	--------	d-----w-	c:\program files\Common Files\Apple
2010-08-27 19:45 . 2010-08-27 19:45	--------	d-----w-	c:\program files\Apple Software Update
2010-08-27 19:45 . 2010-08-27 19:45	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple
2010-08-23 15:03 . 2010-08-23 15:03	6656	----a-w-	c:\windows\system32\haspvdd.dll
2010-08-23 15:03 . 2010-08-23 15:03	47616	----a-w-	c:\windows\system32\drivers\Haspnt.sys
2010-08-23 15:03 . 2010-08-23 15:03	383	----a-w-	c:\windows\system32\haspdos.sys
2010-08-23 15:03 . 2010-08-23 15:01	--------	d-----w-	c:\program files\Common Files\Alias Shared
2010-08-23 15:01 . 2010-08-23 15:01	--------	d-----w-	c:\program files\Autodesk
2010-08-17 13:17 . 2007-07-27 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-07-22 15:49 . 2007-07-27 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 05:57 . 2009-11-06 10:45	5120	----a-w-	c:\windows\system32\xpsp4res.dll
2010-09-11 18:14 . 2009-12-05 16:15	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-06 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m‘|Lë" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"nwiz"="nwiz.exe" [2006-10-31 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-09 18063872]
"EasyTuneV"="c:\program files\Gigabyte\ET5\ETcall.exe" [2007-04-26 24576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-09-11 30192]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-08-10 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Autodesk\\Maya8.5\\bin\\maya.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [06.11.2009 12:03 135336]
R3 MarkFun_NT;MarkFun_NT;c:\program files\Gigabyte\ET5\MARKFUN.W32 [06.11.2009 09:20 19776]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [01.09.2010 13:52 135664]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [06.11.2009 12:50 30192]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MARKFUN_NT
.
Contents of the 'Scheduled Tasks' folder

2010-10-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-01 11:52]

2010-10-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-01 11:52]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://w*w.t-online.de/
uSearch Page = hxxp://w*w.google.com
uDefault_Search_URL = hxxp://w*w.google.com/ie
uSearch Bar = hxxp://w*w.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://w*w.google.com/ie
uSearchURL,(Default) = hxxp://w*w.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\**\Application Data\Mozilla\Firefox\Profiles\2uon28wj.default\
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\c:\program files\Gigabyte\ET5\markfun.w32"
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\RTHDCPL.EXE
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Gigabyte\ET5\GUI.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\nvsvc32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2010-10-04  11:03:46 - machine was rebooted
ComboFix-quarantined-files.txt  2010-10-04 09:03

Pre-Run: 37.062.938.624 bytes free
Post-Run: 7 Verzeichnis(se), 36.977.491.968 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 6296369B98C89F6F13733F91F9C47155

--- --- ---

*Blümchen*

cosinus · 04.10.2010, 17:20

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Blümchen13 · 07.10.2010, 13:16

Hallo Arne,

ich brauch z.Zt. so lange mit den Antworten

- sorry!

Hatte so meine Probleme mit Gmer - beim ersten Ausführen hat sich das Programm plötzlich geschlossen, nix mehr da, nirgendwo ein Log oder eines, das man noch hätte speichern können ...

Habe GMER erneut gestartet und nach einer Stunde vorsichtshalber schonmal ein Log von den bisherigen Funden erstellt. Gmer lief danach noch ein paar Minuten weiter, dann kam die Meldung 'not responding' - hat sich völlig aufgehangen, nix ging mehr... konnte nichtmals den PC ordentlich runterfahren.

Naja... hier kommt (das halbe) Gmer-Log, vielleicht kannst du damit ja was anfangen.

Osam läuft gerade.

Viele Grüße!

Blümchen

GMER 1.0.15.15281 - hxxp://w*w.gmer.net
Rootkit scan 2010-10-07 14:01:13
Windows 5.1.2600 Service Pack 3
Running: epdjlfqt.exe; Driver: C:\DOCUME~1\

\LOCALS~1\Temp\fwtyipod.sys

---- System - GMER 1.0.15 ----

SSDT BA79F2BE ZwCreateKey
SSDT BA79F2B4 ZwCreateThread
SSDT BA79F2C3 ZwDeleteKey
SSDT BA79F2CD ZwDeleteValueKey
SSDT BA79F2D2 ZwLoadKey
SSDT BA79F2A0 ZwOpenProcess
SSDT BA79F2A5 ZwOpenThread
SSDT BA79F2DC ZwReplaceKey
SSDT BA79F2D7 ZwRestoreKey
SSDT BA79F2C8 ZwSetValueKey

INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) B49F616D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) B49F5FC2

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9866380, 0x2468FD, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB48B6300, 0x3AF78, 0xE8000020]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xB47E6400, 0x7960C, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB4888420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB4888420]
.protectÿÿÿÿhardlockunknown last code section [0xB4888200, 0x5049, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xB4888200, 0x5049, 0xE0000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA360300, 0x1BCE, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Blümchen13 · 07.10.2010, 13:22

Hier kommt das Osam-Log:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://w*w.online-solutions.ru/en/
Saved at 14:18:07 on 07.10.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOCUME~1\***\LOCALS~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Driver for MagicISO SCSI Host Controller" (mcdbus) - "MagicISO, Inc." - C:\WINDOWS\System32\DRIVERS\mcdbus.sys
"DS1410D" (DS1410D) - ? - C:\WINDOWS\system32\drivers\ds1410d.sys  (File not found)
"ET5Drv" (ET5Drv) - "Microsoft Corporation" - C:\WINDOWS\system32\Drivers\ET5Drv.sys
"gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys
"Haspnt" (Haspnt) - "Aladdin Knowledge Systems" - C:\WINDOWS\system32\drivers\Haspnt.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"MarkFun_NT" (MarkFun_NT) - "Windows (R) Server 2003 DDK provider" - C:\Program Files\Gigabyte\ET5\markfun.w32
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Rainbow USB SuperPro" (Sntnlusb) - "Rainbow Technologies Inc." - C:\WINDOWS\System32\DRIVERS\SNTNLUSB.SYS
"Sentinel" (Sentinel) - "Rainbow Technologies, Inc." - C:\WINDOWS\System32\Drivers\SENTINEL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "Display Panning CPL Extension" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Encryption Context Menu" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell extensions for file compression" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

[Logon]
-----( %AllUsersProfile%\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini
-----( %UserProfile%\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Documents and Settings\***\Start Menu\Programs\Startup\desktop.ini
"MagicDisc.lnk" - ? - C:\Documents and Settings\***\Start Menu\Programs\Startup\MagicDisc.lnk  (Shortcut exists | File not found)
"OpenOffice.org 3.1.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"EasyTuneV" - ? - C:\Program Files\Gigabyte\ET5\ETcall.exe
"GEST" - ? - m‘|Lë  (File not found)
"Google Desktop Search" - "Google" - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\qttask.exe" -atboottime

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Desktop Manager 5.9.1005.12335" (GoogleDesktopManager-051210-111108) - "Google" - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Blümchen13 · 07.10.2010, 13:25

Und noch das Log von MBRCheck

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E4000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F79000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F68000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F49000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F23000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0B000 atapi.sys
0xB9EF1000 nvata.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9ED1000 fltmgr.sys
0xB9EBF000 sr.sys
0xB9EA8000 KSecDD.sys
0xB9E1B000 Ntfs.sys
0xB9DEE000 NDIS.sys
0xB9DD4000 Mup.sys
0xBA1E8000 \SystemRoot\system32\DRIVERS\AmdPPM.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA578000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB9D78000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA208000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA3D0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA3D8000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB9D54000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA3E0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB9D2C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA218000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA228000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA238000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9D09000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA248000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB9C2E000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB9866000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9852000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA75C000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA258000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA580000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB983B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA268000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA278000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA3E8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB982A000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA288000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB97FA000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA298000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA400000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB97B5000 \SystemRoot\system32\DRIVERS\mcdbus.sys
0xB979D000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
0xBA5C8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB973F000 \SystemRoot\system32\DRIVERS\update.sys
0xBA5A0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA2A8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA2B8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5CA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA2C8000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xB6A50000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB6A2C000 \SystemRoot\system32\drivers\portcls.sys
0xBA2E8000 \SystemRoot\system32\drivers\drmk.sys
0xBA5CE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA726000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5D0000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA420000 \SystemRoot\System32\drivers\vga.sys
0xBA5D2000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5D4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA428000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA430000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA570000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB69D1000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB6978000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB6928000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB6902000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB68E0000 \SystemRoot\System32\drivers\afd.sys
0xBA2F8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA308000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA438000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB68B5000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB6845000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA118000 \SystemRoot\System32\Drivers\Fips.SYS
0xB97E6000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA128000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBA440000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB97DE000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB6823000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5DE000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0xBA168000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB680B000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA5E0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB6A10000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA460000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA682000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB5945000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB595A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB4ED8000 \SystemRoot\system32\drivers\wdmaud.sys
0xB57ED000 \SystemRoot\system32\drivers\sysaudio.sys
0xB4A73000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB4AF8000 \??\C:\WINDOWS\system32\drivers\Haspnt.sys
0xBA61C000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB48A9000 \SystemRoot\System32\Drivers\SENTINEL.SYS
0xB4866000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xB4796000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
0xB4772000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xBA468000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xB45D3000 \SystemRoot\system32\DRIVERS\srv.sys
0xB405E000 \SystemRoot\System32\Drivers\HTTP.sys
0xB4513000 \??\C:\Program Files\Gigabyte\ET5\markfun.w32
0xBA4B0000 \??\C:\WINDOWS\system32\Drivers\ET5Drv.sys
0x7C900000 \WINDOWS\system32\ntdll.dll

Processes (total 38):
0 System Idle Process
4 System
604 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
940 C:\WINDOWS\system32\svchost.exe
988 svchost.exe
1084 C:\WINDOWS\system32\svchost.exe
1204 svchost.exe
1280 svchost.exe
1464 C:\WINDOWS\system32\brsvc01a.exe
1480 C:\WINDOWS\system32\brss01a.exe
1488 C:\WINDOWS\system32\spoolsv.exe
1564 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1796 C:\Program Files\Google\Update\GoogleUpdate.exe
1840 C:\WINDOWS\explorer.exe
460 C:\WINDOWS\RTHDCPL.EXE
492 svchost.exe
508 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
520 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
532 C:\Program Files\Gigabyte\ET5\GUI.exe
644 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
1600 C:\Program Files\OpenOffice.org 3\program\soffice.exe
1604 C:\Program Files\OpenOffice.org 3\program\soffice.bin
1768 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1804 C:\Program Files\Bonjour\mDNSResponder.exe
636 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
972 C:\WINDOWS\system32\nvsvc32.exe
1224 C:\WINDOWS\system32\svchost.exe
516 wdfmgr.exe
2364 C:\Program Files\Mozilla Firefox\firefox.exe
2708 C:\WINDOWS\system32\wscntfy.exe
3048 alg.exe
3936 C:\DOCUME~1\

\LOCALS~1\Temp\Rar$EX02.062\osam.exe
2940 C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
3916 C:\Documents and Settings\

\My Documents\downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD800BB-22JHA0, Rev: 05.01C05

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

cosinus · 07.10.2010, 14:58

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Blümchen13 · 17.10.2010, 10:56

So, die Scans mit Malwarebytes und SUPERAntiSpyware sind glaub ich auch okay gewesen.

Hier kommt das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4784

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

09.10.2010 11:45:33
mbam-log-2010-10-09 (11-45-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 215305
Laufzeit: 59 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nach dem Scan von SUPERAntiSpyware konnte ich irgendwie kein Log speichern. Da kam die Meldung, dass keinerlei Schädlinge auf meinem PC gefunden wurde - und dann konnte man nur noch 'okay' klicken.

Ich danke dir für deine Hilfe!

Viele liebe Grüße

Blümchen

cosinus · 17.10.2010, 13:11

Zitat:

09.10.2010 11:45:33

Ist der Scan schon so lange hergewesen? Und Du hast Malwarebytes auch wirklich aktualisiert vorher?

Blümchen13 · 17.10.2010, 13:15

Oh ja, der Scan war schon so lange her

Ich war zwischendurch ein paar Tage weg und hab danach den SuperAntiSpyware-Scan gemacht. Malwarebytes habe ich vor der Anwendung aktualisiert. Soll ich nochmal einen Scan machen? Ist das eher ungewöhnlich, dass plötzlich keine Schädlinge mehr zu finden sind?

cosinus · 17.10.2010, 14:20

Ja machs nochmal. Ich will was Aktuelles sehen. Natürlich wieder vorher Malwarebytes updaten

Blümchen13 · 18.10.2010, 23:42

So, hier nochmal das aktuelle Malwarebytes-Logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4874

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

18.10.2010 20:00:31
mbam-log-2010-10-18 (20-00-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 217550
Laufzeit: 1 Stunde(n), 6 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nix gefunden... ?

07.10.2010, 14:58	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	PC ist von Trojanern befallen, u.a. agent.fefk Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

17.10.2010, 14:20	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	PC ist von Trojanern befallen, u.a. agent.fefk Ja machs nochmal. Ich will was Aktuelles sehen. Natürlich wieder vorher Malwarebytes updaten __________________ Logfiles bitte immer in CODE-Tags posten

PC ist von Trojanern befallen, u.a. agent.fefk

Plagegeister aller Art und deren Bekämpfung: PC ist von Trojanern befallen, u.a. agent.fefk