Selbständig öffnende Werbefenster

CoachE · 30.09.2010, 11:25

Hallo zusammen,

ich habe seit ca. 1 Woche das Problem von sich selbst öffnenden Werbefenstern. Dies betrifft FF, Chrome und IE. Jamba-Werbung, Baur usw.

Ein Ad-Aware Scan ergab nichts, und Virenscanner (Trend Micro, Free-AV) waren auch ergebnislos.

Ein OLT-Scan ergab folgende Log-Datei:
---OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 30.09.2010 11:26:22 - Run 1
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 42,00% Memory free
5,00 Gb Paging File | 3,00 Gb Available in Paging File | 67,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 271,24 Gb Free Space | 90,99% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive P: | 300,00 Gb Total Space | 22,15 Gb Free Space | 7,38% Space Free | Partition Type: NTFS
Drive Q: | 300,00 Gb Total Space | 22,15 Gb Free Space | 7,38% Space Free | Partition Type: NTFS
Drive W: | 499,99 Gb Total Space | 18,33 Gb Free Space | 3,67% Space Free | Partition Type: NTFS
Drive X: | 15,00 Gb Total Space | 3,70 Gb Free Space | 24,64% Space Free | Partition Type: NTFS
Drive Y: | 15,00 Gb Total Space | 3,70 Gb Free Space | 24,64% Space Free | Partition Type: NTFS
Drive Z: | 15,00 Gb Total Space | 3,70 Gb Free Space | 24,64% Space Free | Partition Type: NTFS
 
 
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 90 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.09.29 15:25:46 | 000,575,488 | ---- | M] 
PRC - [2010.09.20 15:24:23 | 012,479,664 | ---- | M] (Mozilla Messaging) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2010.09.20 14:25:41 | 000,014,808 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\plugin-container.exe
PRC - [2010.09.20 14:25:37 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.09.16 18:51:02 | 002,320,301 | ---- | M] () -- C:\Programme\Search Advisor\adgui.exe
PRC - [2010.09.02 23:12:40 | 000,497,008 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\TmPfw.exe
PRC - [2010.09.02 23:07:46 | 001,028,560 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
PRC - [2010.09.02 23:07:46 | 000,730,408 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe
PRC - [2010.09.02 23:07:46 | 000,296,224 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\Temp\HUA667.EXE
PRC - [2010.09.02 23:07:44 | 000,988,456 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
PRC - [2010.08.13 12:58:56 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.07.26 21:52:06 | 000,546,360 | ---- | M] (Google) -- C:\Programme\Google\Google Calendar Sync\GoogleCalendarSync.exe
PRC - [2010.06.28 15:03:50 | 001,415,632 | ---- | M] (TrueCrypt Foundation) -- C:\Programme\TrueCrypt\TrueCrypt.exe
PRC - [2010.06.11 14:42:00 | 012,979,056 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.04.12 12:33:02 | 002,147,704 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe
PRC - [2010.04.12 12:33:02 | 000,636,256 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2010.03.17 04:48:42 | 000,229,458 | ---- | M] (IDT, Inc.) -- c:\Programme\IDT\WDM\stacsv.exe
PRC - [2010.03.03 15:46:56 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
PRC - [2010.03.03 15:46:54 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
PRC - [2010.02.18 14:26:46 | 001,664,304 | ---- | M] (Validity Sensors, Inc.) -- C:\WINDOWS\system32\vcsFPService.exe
PRC - [2009.11.24 11:32:22 | 000,234,792 | ---- | M] (Skype Technologies S.A.) -- C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
PRC - [2009.10.09 09:21:04 | 000,435,584 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
PRC - [2009.09.05 17:29:06 | 000,385,024 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2009.04.21 21:01:56 | 000,737,280 | ---- | M] (Andrea Electronics Corporation) -- C:\WINDOWS\system32\AESTFltr.exe
PRC - [2009.03.27 18:10:56 | 000,014,336 | ---- | M] (LSI Corporation) -- C:\Programme\LSI SoftModem\agrsmsvc.exe
PRC - [2008.05.26 22:19:14 | 000,123,904 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Desktop Search\WindowsSearch.exe
PRC - [2008.04.17 01:28:48 | 000,818,176 | ---- | M] (Jay Elaraj) -- C:\Programme\Taskbar Shuffle\taskbarshuffle.exe
PRC - [2008.04.14 06:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.03.09 17:12:24 | 000,240,640 | ---- | M] () -- C:\Programme\AutoHotkey\AutoHotkey.exe
PRC - [2006.10.26 13:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
PRC - [1999.09.30 21:31:38 | 000,869,376 | ---- | M] (Fred's Software) -- C:\Programme\PrintKey2000\Printkey2000.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.04.12 12:33:12 | 000,099,688 | ---- | M] (Broadcom Corporation.) -- C:\WINDOWS\system32\BtMmHook.dll
MOD - [2008.04.14 06:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - [2010.09.29 15:49:13 | 001,356,952 | ---- | M] (Lavasoft) [Auto | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2010.09.02 23:12:40 | 000,689,416 | ---- | M] (Trend Micro Inc.) [On_Demand | Stopped] -- C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe -- (TmProxy)
SRV - [2010.09.02 23:12:40 | 000,497,008 | ---- | M] (Trend Micro Inc.) [On_Demand | Running] -- C:\Programme\Trend Micro\OfficeScan Client\TmPfw.exe -- (TmPfw)
SRV - [2010.09.02 23:07:46 | 001,028,560 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe -- (tmlisten)
SRV - [2010.09.02 23:07:44 | 000,988,456 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe -- (ntrtscan)
SRV - [2010.08.13 12:58:56 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.03.18 16:47:22 | 000,035,160 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe -- (aspnet_state)
SRV - [2010.03.18 13:16:28 | 000,753,504 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.03.18 13:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2010.03.17 04:48:42 | 000,229,458 | ---- | M] (IDT, Inc.) [Auto | Running] -- c:\Programme\IDT\WDM\stacsv.exe -- (STacSV)
SRV - [2010.03.03 15:46:56 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R)
SRV - [2010.03.03 15:46:54 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R)
SRV - [2010.02.18 14:26:46 | 001,664,304 | ---- | M] (Validity Sensors, Inc.) [Auto | Running] -- C:\WINDOWS\system32\vcsFPService.exe -- (vcsFPService)
SRV - [2009.03.27 18:10:56 | 000,014,336 | ---- | M] (LSI Corporation) [Auto | Running] -- C:\Programme\LSI SoftModem\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2008.11.04 01:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.10.26 13:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.09.02 23:12:42 | 000,341,008 | ---- | M] (Trend Micro Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TM_CFW.sys -- (tmcfw)
DRV - [2010.09.02 23:12:42 | 000,090,256 | ---- | M] (Trend Micro Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tmtdi.sys -- (tmtdi)
DRV - [2010.09.02 23:07:46 | 000,163,344 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmcomm.sys -- (tmcomm)
DRV - [2010.08.12 14:15:20 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2010.06.28 15:03:50 | 000,223,440 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010.05.27 22:32:58 | 000,245,936 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP)
DRV - [2010.04.26 11:25:00 | 000,305,312 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2010.04.15 04:41:12 | 000,051,752 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2010.04.05 10:44:28 | 006,601,216 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) Intel(R)
DRV - [2010.04.01 00:20:20 | 000,911,400 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2010.03.17 04:48:42 | 001,659,283 | ---- | M] (IDT, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2010.02.25 14:19:12 | 000,016,768 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HpqKbFiltr.sys -- (HpqKbFiltr)
DRV - [2009.12.04 16:39:06 | 000,230,928 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\tmxpflt.sys -- (TmFilter)
DRV - [2009.12.04 16:38:18 | 000,036,368 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\tmpreflt.sys -- (TmPreFilter)
DRV - [2009.12.04 16:05:06 | 001,322,680 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\vsapint.sys -- (VSApiNt)
DRV - [2009.10.19 21:48:20 | 004,415,488 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.09.17 13:54:14 | 000,041,088 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2009.08.19 07:05:56 | 000,100,368 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2009.07.21 14:18:58 | 001,161,760 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2009.04.21 22:13:34 | 000,113,664 | ---- | M] (Andrea Electronics Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AESTAud.sys -- (AESTAud)
DRV - [2009.03.26 06:39:14 | 001,765,168 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC)
DRV - [2008.07.23 11:31:38 | 000,044,800 | ---- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM)
DRV - [2008.05.23 13:51:02 | 000,024,624 | ---- | M] (Hewlett-Packard Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\hpdskflt.sys -- (hpdskflt)
DRV - [2008.05.23 13:50:16 | 000,028,592 | ---- | M] (Hewlett-Packard Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Accelerometer.sys -- (Accelerometer)
DRV - [2008.04.14 06:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.11.02 07:00:08 | 000,039,368 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
FF - prefs.js..extensions.enabledItems: ietab@ip.cn:1.94.20100904
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: support@predictad.com:1.11
FF - prefs.js..extensions.enabledItems: pencil@evolus.vn:1.2.0
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Firefox\Extensions\\support@predictad.com: C:\Programme\AutocompletePro\support@predictad.com [2010.09.24 09:58:01 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.27 13:44:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.27 13:44:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.27 13:44:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
 
[2010.09.30 11:20:21 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.16 15:38:50 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.06.28 13:29:21 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.09.24 09:27:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.01 17:28:31 | 000,075,208 | ---- | M] (Foxit Software Company) -- C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
[2010.06.28 15:24:35 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.28 15:24:35 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.28 15:24:35 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.28 15:24:35 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.28 15:24:35 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 06:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll File not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AESTFltr] C:\WINDOWS\System32\AESTFltr.exe (Andrea Electronics Corporation)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Search Advisor] C:\Programme\Search Advisor\adgui.exe ()
O4 - HKCU..\Run: [Taskbar Shuffle] C:\Programme\Taskbar Shuffle\taskbarshuffle.exe (Jay Elaraj)
O4 - HKCU..\Run: [TrueCrypt] C:\Programme\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Calendar Sync.lnk = C:\Programme\Google\Google Calendar Sync\GoogleCalendarSync.exe (Google)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe (Fred's Software)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: MaxGPOScriptWait = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1277732021382 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1277878741054 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.28 13:05:43 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.09.29 16:02:00 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusb.dll
[2010.09.29 16:01:58 | 000,159,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusd.dll
[2010.09.29 15:49:50 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.09.29 15:49:47 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.09.29 15:31:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
[2010.09.29 15:30:58 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.09.29 15:30:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.09.29 12:14:28 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.29 12:14:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.28 16:21:55 | 000,000,000 | ---D | C] -- C:\Programme\Opera
[2010.09.28 15:58:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.09.28 15:58:32 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.09.28 14:19:46 | 000,000,000 | ---D | C] -- C:\Navilog1
[2010.09.27 15:06:06 | 000,000,000 | ---D | C] -- C:\Programme\TimeWriter
[2010.09.27 13:49:15 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.09.27 13:49:10 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.09.27 13:43:33 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.09.27 13:41:50 | 003,062,048 | ---- | C] (Apple, Inc.) -- C:\WINDOWS\System32\usbaaplrc.dll
[2010.09.27 13:41:00 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
 
[2010.09.24 10:00:27 | 002,170,398 | ---- | C] (Jan Kolarik & Ondrej Vaverka) -- C:\WINDOWS\Word Clock.scr
[2010.09.24 10:00:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\Word Clock Uninstaller
 
[2010.09.24 09:58:01 | 000,000,000 | ---D | C] -- C:\Programme\AutocompletePro
[2010.09.24 09:57:42 | 000,000,000 | ---D | C] -- C:\Programme\Search Advisor
[2010.09.24 09:27:40 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.09.24 09:27:26 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.09.24 09:27:26 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.09.24 09:27:26 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.09.23 13:11:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.09.23 12:43:14 | 000,015,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbscan.sys
[2010.09.23 12:35:19 | 000,000,000 | ---D | C] -- C:\Programme\HP
[2010.09.23 12:35:17 | 000,025,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbprint.sys
[2010.09.23 12:30:59 | 000,000,000 | ---D | C] -- C:\hp_LJM2727_full_solution_AM_EMEA1
 
[2010.09.20 15:17:45 | 000,000,000 | ---D | C] -- C:\Programme\XING Connector
 
[2010.09.08 11:17:46 | 000,094,208 | ---- | C] (Apple Inc.) -- C:\WINDOWS\System32\QuickTimeVR.qtx
[2010.09.08 11:17:46 | 000,069,632 | ---- | C] (Apple Inc.) -- C:\WINDOWS\System32\QuickTime.qts
 
[2010.07.16 15:38:37 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2010.07.16 15:38:34 | 000,000,000 | R--D | C] -- C:\Programme\Skype
[2010.07.16 15:38:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
[2010.07.15 17:40:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.07.15 09:28:12 | 000,000,000 | ---D | C] -- C:\Programme\Taskbar Shuffle
[2010.07.15 09:18:30 | 000,000,000 | ---D | C] -- C:\Programme\MSECache
 
[2010.07.02 14:21:49 | 000,000,000 | ---D | C] -- C:\Programme\AutoHotkey
[2010.07.02 14:21:41 | 000,000,000 | ---D | C] -- C:\Programme\ac'tivAid
 
[2010.07.02 13:19:15 | 000,000,000 | ---D | C] -- C:\Programme\FreeCommander
[2009.03.26 06:39:56 | 000,203,312 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll
[2009.03.26 06:37:38 | 000,256,560 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files - Modified Within 90 Days ==========
 
[2010.09.30 11:23:13 | 000,000,434 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{75DEF776-F4EF-4B79-99AA-DF1DF78497F5}.job
[2010.09.30 11:17:56 | 000,014,223 | ---- | M] () -- C:\WINDOWS\cfgall.ini
[2010.09.30 10:39:00 | 000,001,240 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624UA.job
[2010.09.30 09:37:33 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.30 09:33:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.30 09:33:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.29 16:00:58 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2010.09.29 15:51:11 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.09.29 15:49:47 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
 
[2010.09.27 15:06:40 | 000,000,104 | ---- | M] () -- C:\WINDOWS\twfree.ini
 
[2010.09.23 12:44:10 | 000,000,135 | ---- | M] () -- C:\WINDOWS\System32\AddPort.ini
[2010.09.23 12:44:03 | 000,000,700 | ---- | M] () -- C:\WINDOWS\hpntwksetup.ini
 
[2010.09.21 09:51:01 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.09.17 10:09:43 | 000,001,879 | ---- | M] () -- C:\WINDOWS\imsins.BAK
 
[2010.09.08 11:17:46 | 000,094,208 | ---- | M] (Apple Inc.) -- C:\WINDOWS\System32\QuickTimeVR.qtx
[2010.09.08 11:17:46 | 000,069,632 | ---- | M] (Apple Inc.) -- C:\WINDOWS\System32\QuickTime.qts
 
[2010.09.02 23:12:42 | 000,341,008 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\TM_CFW.sys
[2010.09.02 23:12:42 | 000,090,256 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmtdi.sys
[2010.09.02 23:07:46 | 000,163,344 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
 
[2010.07.16 15:39:50 | 000,000,056 | -H-- | M] () -- C:\WINDOWS\System32\ezsidmv.dat
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
 
[2010.09.27 15:06:15 | 000,000,104 | ---- | C] () -- C:\WINDOWS\twfree.ini
[2010.09.24 10:00:27 | 000,023,558 | ---- | C] () -- C:\WINDOWS\Word Clock.ico
[2010.09.23 12:42:56 | 000,000,135 | ---- | C] () -- C:\WINDOWS\System32\AddPort.ini
[2010.09.23 12:41:47 | 000,000,700 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini
 
< End of report >

--- --- ---
---

Jemand eine Idee, was das sein könnte?

Danke und Gruß...

cosinus · 30.09.2010, 18:51

Wurde Malwarebytes schon ausgeführt?

CoachE · 01.10.2010, 11:16

Hallo Arne,
ja, habe ich auch gemacht. Hier die Log-Datei:
--

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4726

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.10.2010 12:14:48
mbam-log-2010-10-01 (12-14-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 226335
Laufzeit: 2 Stunde(n), 47 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
--
Besten Gruß,
Norman

cosinus · 01.10.2010, 11:17

Gab es nur einen Durchgang mit Malwarebytes oder wurde öfter gescannt?

CoachE · 01.10.2010, 12:05

Hallo Arne,

habe nur einmal gescannt. Sollte man öfter?

cosinus · 01.10.2010, 13:53

Nein. So manche Spezies machen mehrere Durchläufe mit MBAM aber posten dann nu das Log ohne Funde. Völlig sinnfrei

und deswegen frag ich immer nach

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

CoachE · 01.10.2010, 15:12

Hallo Arne,

hier die Log aus ComboFix:

--

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-09-30.03 -  01.10.2010  15:50:01.1.4 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3062.2579 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Desktop\cofi.exe
AV: Trend Micro OfficeScan Antivirus *On-access scanning disabled* (Outdated) {4CA5B9AB-4295-4D4C-9664-0EBE85AE0525}
FW: Trend Micro Personal Firewall *disabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Eventuell infizierte Webseiten -----

hxxp://ris
.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-01 bis 2010-10-01  ))))))))))))))))))))))))))))))
.

2010-10-01 13:42 . 2010-10-01 13:42	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Startmen
2010-10-01 13:26 . 2010-10-01 13:26	--------	d-----w-	c:\programme\CCleaner
2010-10-01 07:24 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 07:24 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-29 10:14 . 2010-09-29 10:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-28 14:22 . 2010-09-28 14:22	--------	d-----w-	c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\Opera
2010-09-28 14:21 . 2010-09-28 14:22	--------	d-----w-	c:\programme\Opera
2010-09-28 13:58 . 2010-10-01 13:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-28 13:58 . 2010-09-28 14:00	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-09-28 12:24 . 2010-09-28 12:24	388096	----a-r-	c:\dokumente und einstellungen\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-28 12:19 . 2010-09-28 12:20	--------	d---a-w-	C:\Navilog1
2010-09-27 13:06 . 2010-09-27 13:09	--------	d-----w-	c:\programme\TimeWriter
2010-09-27 11:49 . 2010-09-27 11:49	--------	d-----w-	c:\programme\iPod
2010-09-27 11:49 . 2010-09-27 11:50	--------	d-----w-	c:\programme\iTunes
2010-09-27 11:43 . 2010-09-27 11:44	--------	d-----w-	c:\programme\QuickTime
2010-09-27 11:41 . 2010-04-19 18:47	3062048	----a-w-	c:\windows\system32\usbaaplrc.dll
2010-09-27 11:41 . 2010-04-19 18:47	41984	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2010-09-27 11:41 . 2010-09-27 11:41	--------	d-----w-	c:\programme\Bonjour
2010-09-27 11:40 . 2010-09-27 11:40	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 10.0.1.22\SetupAdmin.exe
2010-09-24 08:48 . 2008-04-14 04:00	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-24 08:00 . 2010-09-24 08:00	--------	d-----w-	c:\windows\Word Clock Uninstaller
2010-09-24 08:00 . 2010-01-10 09:20	2170398	----a-w-	c:\windows\Word Clock.scr
2010-09-24 07:58 . 2010-09-24 07:59	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\WhiteSmokeTranslator
2010-09-24 07:58 . 2010-09-29 15:36	--------	d-----w-	c:\programme\AutocompletePro
2010-09-24 07:57 . 2010-09-24 14:45	--------	d-----w-	c:\programme\Search Advisor
2010-09-24 07:27 . 2010-09-24 07:27	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-09-23 11:48 . 2010-09-23 11:48	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\assembly
2010-09-23 11:43 . 2010-09-29 13:42	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Deployment
2010-09-23 11:11 . 2010-09-23 11:11	--------	d-----w-	c:\windows\system32\NtmsData
2010-09-23 10:43 . 2008-04-13 22:15	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-09-23 10:43 . 2008-04-13 22:15	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-09-23 10:35 . 2010-09-23 11:11	--------	d-----w-	c:\programme\HP
2010-09-23 10:35 . 2008-04-13 22:17	25856	-c--a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-09-23 10:35 . 2008-04-13 22:17	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-09-23 10:30 . 2010-09-23 10:32	--------	d-----w-	C:\hp_LJM2727_full_solution_AM_EMEA1
2010-09-21 08:17 . 2010-07-24 19:24	344064	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\d3npk44c.default\extensions\ietab@ip.cn\plugins\npCoralIETab.dll
2010-09-20 13:19 . 2010-09-20 13:19	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\XING Connector
2010-09-20 13:17 . 2010-09-20 13:17	--------	d-----w-	c:\programme\XING Connector

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-01 13:46 . 2010-06-22 14:47	548416	----a-w-	c:\windows\system32\perfh007.dat
2010-10-01 13:46 . 2010-06-22 14:47	113630	----a-w-	c:\windows\system32\perfc007.dat
2010-10-01 13:43 . 2010-06-28 13:59	--------	d-----w-	c:\programme\Trend Micro
2010-10-01 13:39 . 2010-07-16 13:39	--------	d-----w-	c:\dokumente und einstellungen\\Anwendungsdaten\Skype
2010-10-01 11:12 . 2010-07-02 06:58	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-10-01 07:24 . 2010-09-29 10:14	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-01 07:07 . 2010-07-16 13:39	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\skypePM
2010-09-30 13:44 . 2010-06-28 11:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-09-30 07:38 . 2010-07-02 12:21	--------	d-----w-	c:\programme\ac'tivAid
2010-09-30 07:37 . 2010-07-15 07:28	--------	d-----w-	c:\programme\Taskbar Shuffle
2010-09-29 14:03 . 2010-08-03 16:02	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\Apple Computer
2010-09-29 14:00 . 2010-08-03 15:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-29 13:49 . 2010-09-29 13:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-09-29 13:49 . 2010-09-29 13:49	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-09-29 13:31 . 2010-09-29 13:31	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-29 13:30 . 2010-09-29 13:30	--------	d-----w-	c:\programme\Lavasoft
2010-09-29 10:14 . 2010-09-29 10:14	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\Malwarebytes
2010-09-27 11:49 . 2010-08-03 15:57	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-09-27 07:38 . 2010-06-28 11:13	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-09-24 07:27 . 2010-06-28 11:28	--------	d-----w-	c:\programme\Java
2010-09-21 07:51 . 2010-06-28 17:51	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-09-06 13:38 . 2010-06-28 11:30	--------	d-----w-	c:\programme\XMind
2010-09-02 21:12 . 2010-02-16 16:03	90256	----a-w-	c:\windows\system32\drivers\tmtdi.sys
2010-09-02 21:12 . 2010-02-16 16:03	341008	----a-w-	c:\windows\system32\drivers\TM_CFW.sys
2010-09-02 21:07 . 2010-06-28 14:00	163344	----a-w-	c:\windows\system32\drivers\tmcomm.sys
2010-08-31 06:56 . 2010-06-28 13:58	70344	----a-w-	c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-24 12:40 . 2010-08-24 12:40	--------	d-----w-	c:\programme\GanttProject
2010-08-17 13:17 . 2010-06-22 14:49	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-17 09:00 . 2010-08-17 09:00	--------	d-----w-	c:\programme\bin
2010-08-12 12:18 . 2010-08-12 12:18	--------	d-----w-	c:\programme\Google
2010-08-12 12:16 . 2010-09-29 13:31	2979848	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-08-12 12:15 . 2010-09-29 15:36	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-08-12 12:15 . 2010-09-29 13:49	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2010-08-09 10:51 . 2010-08-09 10:51	61440	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5191bc1a-n\decora-sse.dll
2010-08-09 10:51 . 2010-08-09 10:51	503808	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7cf24252-n\msvcp71.dll
2010-08-09 10:51 . 2010-08-09 10:51	499712	----a-w-	c:\dokumente und einstellungen\\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7cf24252-n\jmc.dll
2010-08-09 10:51 . 2010-08-09 10:51	348160	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7cf24252-n\msvcr71.dll
2010-08-09 10:51 . 2010-08-09 10:51	12800	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5191bc1a-n\decora-d3d.dll
2010-08-06 06:54 . 2010-08-06 06:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Screentime
2010-08-03 16:01 . 2010-08-03 16:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-08-03 16:00 . 2010-08-03 15:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-08-03 15:58 . 2010-08-03 15:58	--------	d-----w-	c:\programme\Apple Software Update
2010-07-27 16:44 . 2010-07-27 16:44	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-07-27 16:44 . 2010-07-27 16:44	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2010-07-27 16:44 . 2010-07-27 16:44	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-07-27 16:44 . 2010-07-27 16:44	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-07-22 15:48 . 2010-06-22 14:48	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 09:49 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-28 11:29	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-16 13:39 . 2010-07-16 13:39	56	---ha-w-	c:\windows\system32\ezsidmv.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2010-06-28 1415632]
"Google Update"="c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-07-01 136176]
"Taskbar Shuffle"="c:\programme\Taskbar Shuffle\taskbarshuffle.exe" [2008-04-16 818176]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"Search Advisor"="c:\programme\Search Advisor\adgui.exe" [2010-09-16 2320301]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-10-19 98304]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-04-21 737280]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2010-02-25 287800]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]

c:\dokumente und einstellungen\Startmen\Programme\Autostart\
ac'tivAid.lnk - c:\programme\ac'tivAid\ac'tivAid.ahk [2008-6-5 495612]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2010-4-12 636256]
Google Calendar Sync.lnk - c:\programme\Google\Google Calendar Sync\GoogleCalendarSync.exe [2010-7-26 546360]
Printkey2000.lnk - c:\programme\PrintKey2000\Printkey2000.exe [2010-6-28 869376]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"MaxGPOScriptWait"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
"49003:TCP"= 49003:TCP:Trend Micro OfficeScan Listener

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [29.09.2010 15:49 64288]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1356952]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [24.06.2010 14:20 44800]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [16.02.2010 18:03 341008]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 TmFilter;Trend Micro Filter;\??\c:\programme\Trend Micro\OfficeScan Client\TmXPFlt.sys --> c:\programme\Trend Micro\OfficeScan Client\TmXPFlt.sys [?]
S2 TmPreFilter;Trend Micro PreFilter;\??\c:\programme\Trend Micro\OfficeScan Client\TmPreFlt.sys --> c:\programme\Trend Micro\OfficeScan Client\TmPreFlt.sys [?]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [28.06.2010 13:16 2320920]
S2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [18.02.2010 14:26 1664304]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [28.06.2010 13:13 113664]
S3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [28.06.2010 13:15 227896]
S3 TmPfw;OfficeScan NT Firewall;"c:\programme\Trend Micro\OfficeScan Client\TmPfw.exe" --> c:\programme\Trend Micro\OfficeScan Client\TmPfw.exe [?]
S3 TmProxy;OfficeScan NT Proxy Service;"c:\programme\Trend Micro\OfficeScan Client\TmProxy.exe" --> c:\programme\Trend Micro\OfficeScan Client\TmProxy.exe [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [22.06.2010 16:50 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - NTRTSCAN
*NewlyCreated* - TMLISTEN

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners

2010-09-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 13:49]

2010-10-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624Core.job
- c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-07-01 11:34]

2010-10-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624UA.job
- c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-07-01 11:34]

2010-10-01 c:\windows\Tasks\User_Feed_Synchronization-{75DEF776-F4EF-4B79-99AA-DF1DF78497F5}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\d3npk44c.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\d3npk44c.default\extensions\ietab@ip.cn\plugins\npCoralIETab.dll
FF - plugin: c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-OfficeScanNT Monitor - c:\programme\Trend Micro\OfficeScan Client\pccntmon.exe
AddRemove-LSI Soft Modem - c:\windows\agrsmdel
AddRemove-OfficeScanNT - c:\programme\Trend Micro\OfficeScan Client\ntrmv.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-01 15:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\ACTIVEDS.dll
.
Zeit der Fertigstellung: 2010-10-01  15:53:28
ComboFix-quarantined-files.txt  2010-10-01 13:53

Vor Suchlauf: 7 Verzeichnis(se), 294.129.078.272 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 294.631.731.200 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 42F402E4F905221BA63D867A03DC5D02

--- --- ---
--

Besten Gruß,
Norman

cosinus · 01.10.2010, 18:27

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"=-
"5800:TCP"=-
"49003:TCP"=-

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

CoachE · 04.10.2010, 09:30

Hallo Arne,

hier der nächste Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-02.02 -  04.10.2010  10:09:00.2.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3062.1662 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Desktop\CFScript.txt
AV: Trend Micro OfficeScan Antivirus *On-access scanning enabled* (Updated) {4CA5B9AB-4295-4D4C-9664-0EBE85AE0525}
FW: Trend Micro Personal Firewall *enabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-04 bis 2010-10-04  ))))))))))))))))))))))))))))))
.

2010-10-01 13:42 . 2010-10-01 13:42	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Startmen
2010-10-01 13:26 . 2010-10-01 13:26	--------	d-----w-	c:\programme\CCleaner
2010-10-01 07:24 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 07:24 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-29 14:02 . 2001-08-18 02:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2010-09-29 14:01 . 2008-04-14 05:52	159232	----a-w-	c:\windows\system32\ptpusd.dll
2010-09-29 13:49 . 2010-09-29 13:49	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-09-29 13:34 . 2010-09-29 13:34	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-29 13:30 . 2010-10-01 14:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-09-29 10:14 . 2010-09-29 10:14	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\Malwarebytes
2010-09-29 10:14 . 2010-10-01 07:24	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-29 10:14 . 2010-09-29 10:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-28 14:22 . 2010-09-28 14:22	--------	d-----w-	c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\Opera
2010-09-28 14:21 . 2010-09-28 14:22	--------	d-----w-	c:\programme\Opera
2010-09-28 13:58 . 2010-10-01 13:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-28 13:58 . 2010-09-28 14:00	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-09-28 12:24 . 2010-09-28 12:24	388096	----a-r-	c:\dokumente und einstellungen\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-28 12:19 . 2010-09-28 12:20	--------	d---a-w-	C:\Navilog1
2010-09-27 13:06 . 2010-09-27 13:09	--------	d-----w-	c:\programme\TimeWriter
2010-09-27 11:49 . 2010-09-27 11:49	--------	d-----w-	c:\programme\iPod
2010-09-27 11:49 . 2010-09-27 11:50	--------	d-----w-	c:\programme\iTunes
2010-09-27 11:43 . 2010-09-27 11:44	--------	d-----w-	c:\programme\QuickTime
2010-09-27 11:41 . 2010-04-19 18:47	3062048	----a-w-	c:\windows\system32\usbaaplrc.dll
2010-09-27 11:41 . 2010-04-19 18:47	41984	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2010-09-27 11:41 . 2010-09-27 11:41	--------	d-----w-	c:\programme\Bonjour
2010-09-27 11:40 . 2010-09-27 11:40	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 10.0.1.22\SetupAdmin.exe
2010-09-24 08:48 . 2008-04-14 04:00	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-24 08:00 . 2010-09-24 08:00	--------	d-----w-	c:\windows\Word Clock Uninstaller
2010-09-24 08:00 . 2010-01-10 09:20	2170398	----a-w-	c:\windows\Word Clock.scr
2010-09-24 07:58 . 2010-09-24 07:59	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\WhiteSmokeTranslator
2010-09-24 07:58 . 2010-09-29 15:36	--------	d-----w-	c:\programme\AutocompletePro
2010-09-24 07:57 . 2010-09-24 14:45	--------	d-----w-	c:\programme\Search Advisor
2010-09-24 07:27 . 2010-09-24 07:27	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-09-23 11:48 . 2010-09-23 11:48	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\assembly
2010-09-23 11:43 . 2010-09-29 13:42	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Deployment
2010-09-23 11:11 . 2010-09-23 11:11	--------	d-----w-	c:\windows\system32\NtmsData
2010-09-23 10:43 . 2008-04-13 22:15	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-09-23 10:43 . 2008-04-13 22:15	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-09-23 10:35 . 2010-09-23 11:11	--------	d-----w-	c:\programme\HP
2010-09-23 10:35 . 2008-04-13 22:17	25856	-c--a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-09-23 10:35 . 2008-04-13 22:17	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-09-23 10:30 . 2010-09-23 10:32	--------	d-----w-	C:\hp_LJM2727_full_solution_AM_EMEA1
2010-09-21 08:17 . 2010-07-24 19:24	344064	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\d3npk44c.default\extensions\ietab@ip.cn\plugins\npCoralIETab.dll
2010-09-20 13:19 . 2010-09-20 13:19	--------	d-----w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\XING Connector
2010-09-20 13:17 . 2010-09-20 13:17	--------	d-----w-	c:\programme\XING Connector

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-04 08:12 . 2010-07-16 13:39	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\Skype
2010-10-04 06:33 . 2010-07-16 13:39	--------	d-----w-	c:\dokumente und einstellungen\\Anwendungsdaten\skypePM
2010-10-04 06:32 . 2010-07-02 12:21	--------	d-----w-	c:\programme\ac'tivAid
2010-10-04 06:32 . 2010-07-15 07:28	--------	d-----w-	c:\programme\Taskbar Shuffle
2010-10-01 14:06 . 2010-06-22 14:47	549010	----a-w-	c:\windows\system32\perfh007.dat
2010-10-01 14:06 . 2010-06-22 14:47	114046	----a-w-	c:\windows\system32\perfc007.dat
2010-10-01 14:05 . 2010-06-28 13:59	--------	d-----w-	c:\programme\Trend Micro
2010-10-01 11:12 . 2010-07-02 06:58	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-09-30 13:44 . 2010-06-28 11:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-09-29 14:03 . 2010-08-03 16:02	--------	d-----w-	c:\dokumente und einstellungen\Anwendungsdaten\Apple Computer
2010-09-29 14:00 . 2010-08-03 15:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-27 11:49 . 2010-08-03 15:57	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-09-27 07:38 . 2010-06-28 11:13	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-09-24 07:27 . 2010-06-28 11:28	--------	d-----w-	c:\programme\Java
2010-09-21 07:51 . 2010-06-28 17:51	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-09-06 13:38 . 2010-06-28 11:30	--------	d-----w-	c:\programme\XMind
2010-09-02 21:12 . 2010-09-02 21:12	341008	----a-w-	c:\windows\system32\drivers\TM_CFW.sys
2010-09-02 21:12 . 2010-02-16 16:03	90256	----a-w-	c:\windows\system32\drivers\tmtdi.sys
2010-09-02 21:07 . 2010-06-28 14:00	163344	----a-w-	c:\windows\system32\drivers\tmcomm.sys
2010-08-31 06:56 . 2010-06-28 13:58	70344	----a-w-	c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-24 12:40 . 2010-08-24 12:40	--------	d-----w-	c:\programme\GanttProject
2010-08-17 13:17 . 2010-06-22 14:49	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-17 09:00 . 2010-08-17 09:00	--------	d-----w-	c:\programme\bin
2010-08-12 12:18 . 2010-08-12 12:18	--------	d-----w-	c:\programme\Google
2010-08-09 10:51 . 2010-08-09 10:51	61440	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5191bc1a-n\decora-sse.dll
2010-08-09 10:51 . 2010-08-09 10:51	503808	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7cf24252-n\msvcp71.dll
2010-08-09 10:51 . 2010-08-09 10:51	499712	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7cf24252-n\jmc.dll
2010-08-09 10:51 . 2010-08-09 10:51	348160	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7cf24252-n\msvcr71.dll
2010-08-09 10:51 . 2010-08-09 10:51	12800	----a-w-	c:\dokumente und einstellungen\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5191bc1a-n\decora-d3d.dll
2010-08-06 06:54 . 2010-08-06 06:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Screentime
2010-07-27 16:44 . 2010-07-27 16:44	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-07-27 16:44 . 2010-07-27 16:44	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2010-07-27 16:44 . 2010-07-27 16:44	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-07-27 16:44 . 2010-07-27 16:44	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-07-22 15:48 . 2010-06-22 14:48	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 09:49 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-28 11:29	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-16 13:39 . 2010-07-16 13:39	56	---ha-w-	c:\windows\system32\ezsidmv.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-01_13.52.20   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-04 06:29 . 2010-10-04 06:29	16384              c:\windows\temp\Perflib_Perfdata_35c.dat
+ 2010-06-22 14:47 . 2010-10-01 14:06	86854              c:\windows\system32\perfc009.dat
+ 2010-06-22 14:47 . 2010-10-01 14:06	498954              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2010-06-28 1415632]
"Google Update"="c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-07-01 136176]
"Taskbar Shuffle"="c:\programme\Taskbar Shuffle\taskbarshuffle.exe" [2008-04-16 818176]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"Search Advisor"="c:\programme\Search Advisor\adgui.exe" [2010-09-16 2320301]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-10-19 98304]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-04-21 737280]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2010-02-25 287800]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"OfficeScanNT Monitor"="c:\programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-09-02 730408]

c:\dokumente und einstellungen\Startmen\Programme\Autostart\
ac'tivAid.lnk - c:\programme\ac'tivAid\ac'tivAid.ahk [2008-6-5 495612]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2010-4-12 636256]
Google Calendar Sync.lnk - c:\programme\Google\Google Calendar Sync\GoogleCalendarSync.exe [2010-7-26 546360]
Printkey2000.lnk - c:\programme\PrintKey2000\Printkey2000.exe [2010-6-28 869376]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"MaxGPOScriptWait"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
"49003:TCP"= 49003:TCP:Trend Micro OfficeScan Listener

R2 TmFilter;Trend Micro Filter;c:\programme\Trend Micro\OfficeScan Client\tmxpflt.sys [21.01.2009 13:08 230928]
R2 TmPreFilter;Trend Micro PreFilter;c:\programme\Trend Micro\OfficeScan Client\tmpreflt.sys [21.01.2009 13:08 36368]
R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [28.06.2010 13:16 2320920]
R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [18.02.2010 14:26 1664304]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [28.06.2010 13:13 113664]
R3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [28.06.2010 13:15 227896]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [24.06.2010 14:20 44800]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [02.09.2010 23:12 341008]
R3 TmPfw;OfficeScan NT Firewall;c:\programme\Trend Micro\OfficeScan Client\TmPfw.exe [02.09.2010 23:12 497008]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 TmProxy;OfficeScan NT Proxy Service;c:\programme\Trend Micro\OfficeScan Client\TmProxy.exe [02.09.2010 23:12 689416]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [22.06.2010 16:50 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners

2010-10-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624Core.job
- c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-07-01 11:34]

2010-10-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624UA.job
- c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-07-01 11:34]

2010-10-04 c:\windows\Tasks\User_Feed_Synchronization-{75DEF776-F4EF-4B79-99AA-DF1DF78497F5}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\d3npk44c.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\d3npk44c.default\extensions\ietab@ip.cn\plugins\npCoralIETab.dll
FF - plugin: c:\dokumente und einstellungen\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-04 10:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(924)
c:\windows\system32\Ati2evxx.dll
c:\programme\Trend Micro\OfficeScan Client\OsceProt.dll

- - - - - - - > 'lsass.exe'(980)
c:\programme\Trend Micro\OfficeScan Client\OsceProt.dll

- - - - - - - > 'explorer.exe'(3476)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Taskbar Shuffle\tbhookin.dll
.
Zeit der Fertigstellung: 2010-10-04  10:14:00
ComboFix-quarantined-files.txt  2010-10-04 08:13
ComboFix2.txt  2010-10-01 13:53

Vor Suchlauf: 8 Verzeichnis(se), 294.561.714.176 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 294.626.869.248 Bytes frei

- - End Of File - - F19B6DACCA1B05486F975FC3312EA5F3

--- --- ---

Danke und Gruß,
Norman

cosinus · 04.10.2010, 10:08

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

CoachE · 04.10.2010, 11:58

So, hier die nächsten Logs:

GMER:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-04 12:33:49
Windows 5.1.2600 Service Pack 3
Running: x7iitu35.exe; Driver: C:\DOKUME~1\NORMAN~1.EHL\LOKALE~1\Temp\afpyiaow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                           section is writeable [0xB9390000, 0x212E37, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[384] kernel32.dll!WriteFile  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                           tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                            wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                            wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                              sector 63: rootkit-like behavior; 

---- EOF - GMER 1.0.15 ----

--- --- ---
--

OSAM:
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:55:08 on 04.10.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-1757981266-839522115-1708537768-10624UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\MLCFG32.CPL
"QlbConfig" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbConfg.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\DOKUME~1\NORMAN~1.EHL\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"tmcomm" (tmcomm) - "Trend Micro Inc." - C:\WINDOWS\system32\drivers\tmcomm.sys
"Trend Micro Filter" (TmFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmXPFlt.sys
"Trend Micro PreFilter" (TmPreFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys
"Trend Micro VSAPI NT" (VSApiNt) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\VSApiNt.sys
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL
{efb97cb8-a4a4-4357-a261-002ffaed0267} "CD Slideshow Powertoy" - ? -   (File not found | COM-object registry key not found)
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\VISSHE.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll
{E81FFB23-40E2-431C-A041-76AEA0E4B04C} "Enterprise-Projekte" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\NAMEEXT.DLL
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\VISSHE.DLL
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll
{AF4F7471-FCFB-11d0-80B6-0080C838D5F9} "OfficeScan NT" - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmdShell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\OLKFSTUB.DLL
{1530F7EE-5128-43BD-9977-84A4B0FAD7DF} "PhotoToys" - ? -   (File not found | COM-object registry key not found)
{8903F6C9-25E3-40AC-A98F-E6D35CD0469C} "PSPad" - ? - C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL  (File found, but it contains no detailed information)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "MUWebControl Class" - "Microsoft Corporation" - C:\WINDOWS\system32\muweb.dll / hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1277878741054
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10h.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
{0FB6A909-6086-458F-BD92-1F8EE10042A0} "{0FB6A909-6086-458F-BD92-1F8EE10042A0}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Google Calendar Sync.lnk" - "Google" - C:\Programme\Google\Google Calendar Sync\GoogleCalendarSync.exe  (Shortcut exists | File exists)
"Printkey2000.lnk" - "Fred's Software" - C:\Programme\PrintKey2000\Printkey2000.exe  (Shortcut exists | File exists)
"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"ac'tivAid.lnk" - ? - C:\Programme\ac'tivAid\ac'tivAid.ahk  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\norman.ehlert\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Google Update" - "Google Inc." - "C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
"Search Advisor" - ? - C:\Programme\Search Advisor\adgui.exe
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Taskbar Shuffle" - "Jay Elaraj" - C:\Programme\Taskbar Shuffle\taskbarshuffle.exe
"TrueCrypt" - "TrueCrypt Foundation" - "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
-----( HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup )-----
"Default Domain Policy" - ? - \\Dc01hb\SYSVOL\hmmh.ag\scripts\sysinfo.bat  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"OfficeScanNT Monitor" - "Trend Micro Inc." - "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
"QlbCtrl.exe" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll
"HP Standard TCP/IP Port" - "Hewlett Packard" - C:\WINDOWS\system32\HpTcpMon.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"Com4QLBEx" (Com4QLBEx) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
"Intel(R) Management & Security Application User Notification Service" (UNS) - "Intel Corporation" - C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
"Intel(R) Management and Security Application Local Management Service" (LMS) - "Intel Corporation" - C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"OfficeScan NT Firewall" (TmPfw) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmPfw.exe
"OfficeScan NT Listener" (tmlisten) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
"OfficeScan NT Proxy Service" (TmProxy) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe
"OfficeScanNT RealTime Scan" (ntrtscan) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
"Validity VCS Fingerprint Service" (vcsFPService) - "Validity Sensors, Inc." - C:\WINDOWS\system32\vcsFPService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - "ScreenTime Media" - C:\WINDOWS\system32\HMMH-S~1.SCR
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

--
und MBR:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x03c1800c

Kernel Drivers (total 148):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltMgr.sys
0xB9ED8000 sr.sys
0xB9EA3000 truecrypt.sys
0xB9E8C000 KSecDD.sys
0xB9DFF000 Ntfs.sys
0xB9DD2000 NDIS.sys
0xB9DB8000 Mup.sys
0xBA338000 hpdskflt.sys
0xBA198000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9180000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB916C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9144000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\HECI.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB9120000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB910C000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xBA1B8000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB8AC0000 \SystemRoot\system32\DRIVERS\NETw5x32.sys
0xB8A76000 \SystemRoot\system32\DRIVERS\yk51x86.sys
0xBA1C8000 \SystemRoot\system32\DRIVERS\IFXTPM.SYS
0xBA1D8000 \SystemRoot\system32\DRIVERS\serial.sys
0xB9D39000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB8A62000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA1E8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB89F1000 \SystemRoot\System32\Drivers\wdf01000.sys
0xBA400000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB89B6000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5F0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA408000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA208000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA218000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA228000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8993000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA410000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xBA418000 \SystemRoot\system32\DRIVERS\Accelerometer.sys
0xB9628000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9624000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB88B6000 \SystemRoot\system32\DRIVERS\btkrnl.sys

--

cosinus · 04.10.2010, 17:36

Das Log von MBRCheck ist unvollständig

CoachE · 05.10.2010, 09:09

Jetzt aber:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x03c1800c

Kernel Drivers (total 149):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltMgr.sys
0xB9ED8000 sr.sys
0xB9EA3000 truecrypt.sys
0xB9E8C000 KSecDD.sys
0xB9DFF000 Ntfs.sys
0xB9DD2000 NDIS.sys
0xB9DB8000 Mup.sys
0xBA338000 hpdskflt.sys
0xBA248000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB907E000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB906A000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9042000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA258000 \SystemRoot\system32\DRIVERS\HECI.sys
0xBA430000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB901E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB900A000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xBA268000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB89BE000 \SystemRoot\system32\DRIVERS\NETw5x32.sys
0xB8974000 \SystemRoot\system32\DRIVERS\yk51x86.sys
0xBA278000 \SystemRoot\system32\DRIVERS\IFXTPM.SYS
0xBA288000 \SystemRoot\system32\DRIVERS\serial.sys
0xB9D29000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB8960000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA298000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA438000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB88EF000 \SystemRoot\System32\Drivers\wdf01000.sys
0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB88B4000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5FC000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA448000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA2B8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA2C8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA2D8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8891000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA450000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xBA458000 \SystemRoot\system32\DRIVERS\Accelerometer.sys
0xB9516000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9512000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB87B4000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xBA74F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA2E8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB950E000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB879D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA2F8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA308000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA460000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xBA468000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA470000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB86CD000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA318000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5FE000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB8647000 \SystemRoot\system32\DRIVERS\update.sys
0xBA584000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA138000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAC5E2000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAC5BE000 \SystemRoot\system32\drivers\portcls.sys
0xBA168000 \SystemRoot\system32\drivers\drmk.sys
0xBA178000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xAAD7C000 \SystemRoot\system32\drivers\sthda.sys
0xAAD60000 \SystemRoot\system32\drivers\AESTAud.sys
0xAAC44000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xBA410000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA646000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA69E000 \SystemRoot\System32\Drivers\Null.SYS
0xBA648000 \SystemRoot\System32\Drivers\Beep.SYS
0xAB485000 \SystemRoot\System32\drivers\vga.sys
0xBA64A000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA654000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xAB46D000 \SystemRoot\System32\Drivers\Msfs.SYS
0xAB465000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9D8C000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA9E42000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAB8EA000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xA9DE9000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA9D59000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA9D33000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA9D11000 \SystemRoot\System32\drivers\afd.sys
0xAB8DA000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAB8CA000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA9B2C000 \SystemRoot\system32\DRIVERS\tmtdi.sys
0xA9B01000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA9A91000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB874D000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAA5A7000 \SystemRoot\System32\Drivers\Fips.SYS
0xB875D000 \SystemRoot\System32\Drivers\btwusb.sys
0xBA390000 \SystemRoot\system32\DRIVERS\WinUSB.sys
0xA98E3000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xB873D000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xBA398000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xB9D35000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xAC538000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xABA4C000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB86C9000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA804B000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBA5CE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAB738000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA490000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA793000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF060000 \SystemRoot\System32\ati2cqag.dll
0xBF0FC000 \SystemRoot\System32\atikvmag.dll
0xBF196000 \SystemRoot\System32\atiok3x2.dll
0xBF1FC000 \SystemRoot\System32\ati3duag.dll
0xBF557000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA807B000 \??\C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys
0xA51F7000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA500A000 \SystemRoot\system32\drivers\wdmaud.sys
0xAB91A000 \SystemRoot\system32\drivers\sysaudio.sys
0xA4EC7000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBA5F4000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA4DF8000 \SystemRoot\system32\DRIVERS\srv.sys
0xABA44000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xA47D0000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xA43EF000 \SystemRoot\System32\Drivers\HTTP.sys
0xA3871000 \SystemRoot\system32\DRIVERS\TM_CFW.sys
0xA3279000 \??\C:\WINDOWS\system32\drivers\tmcomm.sys
0xA3137000 \??\C:\Programme\Trend Micro\OfficeScan Client\VSApiNt.sys
0xA30EE000 \??\C:\Programme\Trend Micro\OfficeScan Client\TmXPFlt.sys
0xA2EBB000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 77):
0 System Idle Process
4 System
536 C:\WINDOWS\system32\smss.exe
584 csrss.exe
620 C:\WINDOWS\system32\winlogon.exe
664 C:\WINDOWS\system32\services.exe
676 C:\WINDOWS\system32\lsass.exe
880 C:\WINDOWS\system32\ati2evxx.exe
896 C:\WINDOWS\system32\svchost.exe
968 svchost.exe
1060 C:\WINDOWS\system32\svchost.exe
1100 C:\WINDOWS\system32\vcsFPService.exe
1180 svchost.exe
1256 svchost.exe
1428 C:\WINDOWS\system32\ati2evxx.exe
1460 C:\WINDOWS\system32\spoolsv.exe
1508 C:\Programme\IDT\WDM\stacsv.exe
1604 scardsvr.exe
1748 svchost.exe
1896 C:\Programme\LSI SoftModem\agrsmsvc.exe
1916 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1928 C:\Programme\Bonjour\mDNSResponder.exe
1992 C:\Programme\Java\jre6\bin\jqs.exe
2036 C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
204 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
192 C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
492 C:\WINDOWS\system32\svchost.exe
1120 C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
1384 C:\WINDOWS\system32\searchindexer.exe
1784 C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
2296 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
2612 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2748 alg.exe
2784 wmiprvse.exe
3628 C:\WINDOWS\explorer.exe
476 C:\WINDOWS\system32\AESTFltr.exe
1344 C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
2052 C:\Programme\FreePDF_XP\fpassist.exe
2060 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2180 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2228 C:\Programme\iTunes\iTunesHelper.exe
2388 C:\Programme\TrueCrypt\TrueCrypt.exe
2400 C:\Programme\Taskbar Shuffle\taskbarshuffle.exe
2444 C:\Programme\Skype\Phone\Skype.exe
2604 C:\Programme\Search Advisor\adgui.exe
2680 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
2860 C:\WINDOWS\system32\ctfmon.exe
2944 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
3080 C:\Programme\Google\Google Calendar Sync\GoogleCalendarSync.exe
3212 C:\Programme\PrintKey2000\Printkey2000.exe
3296 C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
3356 C:\Programme\Windows Desktop Search\WindowsSearch.exe
3368 C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
3916 C:\Programme\AutoHotkey\AutoHotkey.exe
3312 C:\Programme\iPod\bin\iPodService.exe
2288 C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe
2660 C:\WINDOWS\temp\DUAC5A.EXE
2992 C:\Programme\Skype\Plugin Manager\skypePM.exe
3340 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
312 C:\Programme\Trend Micro\OfficeScan Client\TmPfw.exe
3420 C:\Programme\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
4940 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
4780 C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
4080 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
4556 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
4892 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
4708 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3132 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3116 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
4500 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
5712 C:\Dokumente und Einstellungen\norman.ehlert\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
5856 C:\Programme\Mozilla Firefox\firefox.exe
6064 C:\Programme\Mozilla Firefox\plugin-container.exe
3492 C:\WINDOWS\system32\searchprotocolhost.exe
3084 searchfilterhost.exe
5148 C:\WINDOWS\system32\searchprotocolhost.exe
5024 C:\Dokumente und Einstellungen\norman.ehlert\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS725032A9A364, Rev: PC3OC72E

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: C0E15F31D2067295C2D06857DE0CB0B8EEA002D7

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

cosinus · 05.10.2010, 18:20

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRCheck nochmals aus und poste das neue Log.

CoachE · 06.10.2010, 08:16

Hallo Arne,

nur zur Sicherheit. Ich muss zum Starten des Rechners ein Passwort eingeben. Zerschiesse ich mir damit den MBR evtl. komplett oder kann da nix passieren?

Danke und Gruß,
Norman

30.09.2010, 18:51	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Selbständig öffnende Werbefenster Wurde Malwarebytes schon ausgeführt? __________________ __________________

01.10.2010, 11:17	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Selbständig öffnende Werbefenster Gab es nur einen Durchgang mit Malwarebytes oder wurde öfter gescannt? __________________ Logfiles bitte immer in CODE-Tags posten

04.10.2010, 17:36	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Selbständig öffnende Werbefenster Das Log von MBRCheck ist unvollständig __________________ Logfiles bitte immer in CODE-Tags posten

Selbständig öffnende Werbefenster

Plagegeister aller Art und deren Bekämpfung: Selbständig öffnende Werbefenster