Antivir löscht Trojaner nicht, ich bin absoluter Laie, Lofile inside :(

keinplanman · 31.10.2010, 12:48

Hallo, bitte habt Mitleid und Geduld mit mir, ich hab keine ahnung, wer wie was ich tun muss. Mir wurde gesagt, ich soll ein Logfile erstellen, erst dann könne mir geholfen werden:

Mein Problem: Antivir meldet Trojaner, die kann ich im Quarantäneordner einsehen, aber nicht löschen, dachte das geht

Nutze ich die Windowssuche, findet er die Dateien nicht... scheinen also irgendwo im Quarantänenirvana zu sein. Zudem kommt, weiß nicht, ob es was damit zu tun hat, fürchte schon, die ganze Zeit die Meldung, ich solle im Firefox den adobe player aktualisieren, dabei hab ich das schon hundert mal versucht, aber nützt wohl nix. Oder ist das der Knackpunkt? Ich bin verwirrt, wie werd ich die Schäden jetzt wieder los? Kann mir jemand weiterhelfen? Bitte langsam und deutlich sprechen, ich weiß nichtmal was ein Logfile ist...

danke schonmal!

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:52:38, on 31.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Dokumente und Einstellungen\mr.x\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4249 bytes

cosinus · 31.10.2010, 20:08

Zitat:

Mein Problem: Antivir meldet Trojaner

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

keinplanman · 31.10.2010, 20:27

Zitat:

Zitat von cosinus

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Hallo, danke für den Hinweis!

Es steht da nur "Ist das Trojanische Pferd TR/HORSE.QTV " und einmal "enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.R" ,mehr weiß ich nicht? Die Dateipfade kann ich nur halb sehen, oh Gott, ich bin einfach ein unedarfter Laie ohne Peilung, dieses Programm verwirrt mich nur noch mehr

cosinus · 31.10.2010, 20:29

Dann sieht doch ins Protokoll rein und poste es.

keinplanman · 31.10.2010, 20:43

Ähm, meinst du das da?

Es tut mir leid

Danke für deine (eure) Geduld!

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Mr.x\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UNSI10PZ\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{8D942B92-ECBA-410D-9326-DC7BD3F0A025}\RP94\A0046422.exe
[FUND] Ist das Trojanische Pferd TR/Horse.QTV
C:\System Volume Information\_restore{8D942B92-ECBA-410D-9326-DC7BD3F0A025}\RP94\A0046423.exe
[FUND] Ist das Trojanische Pferd TR/Horse.QTV
C:\System Volume Information\_restore{8D942B92-ECBA-410D-9326-DC7BD3F0A025}\RP94\A0046424.exe
[FUND] Ist das Trojanische Pferd TR/Horse.QTV
Beginne mit der Suche in 'D:\'
D:\Documents and Settings\Mr.x\Local Settings\Temporary Internet Files\Content.IE5\NZLQ5I4W\Firefox%20Setup%203.6[1].exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{8D942B92-ECBA-410D-9326-DC7BD3F0A025}\RP94\A0046422.exe
[FUND] Ist das Trojanische Pferd TR/Horse.QTV
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfd48a0.qua' verschoben!
C:\System Volume Information\_restore{8D942B92-ECBA-410D-9326-DC7BD3F0A025}\RP94\A0046423.exe
[FUND] Ist das Trojanische Pferd TR/Horse.QTV
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d9849f1.qua' verschoben!
C:\System Volume Information\_restore{8D942B92-ECBA-410D-9326-DC7BD3F0A025}\RP94\A0046424.exe
[FUND] Ist das Trojanische Pferd TR/Horse.QTV
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d9a5841.qua' verschoben!

Ende des Suchlaufs: Sonntag, 31. Oktober 2010 11:44
Benötigte Zeit: 29:27 Minute(n)

cosinus · 31.10.2010, 20:53

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

keinplanman · 31.10.2010, 22:54

Okay, hab ich gemacht, hoffe das ist jetzt das richtige!

Malwarebytes sagt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5009

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.10.2010 22:36:20
mbam-log-2010-10-31 (22-36-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 201341
Laufzeit: 41 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

OTL sagt 1.:OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 31.10.2010 22:37:29 - Run 1
OTL by OldTimer - Version 3.2.17.1     Folder = C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,16 Gb Total Space | 72,88 Gb Free Space | 78,23% Space Free | Partition Type: NTFS
Drive D: | 93,16 Gb Total Space | 90,51 Gb Free Space | 97,16% Space Free | Partition Type: NTFS
 
Computer Name: PCx | User Name: Mr.x | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\MirandaMe\miranda32.exe" = C:\Programme\MirandaMe\miranda32.exe:*:Enabled:Miranda IM -- ( )
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{053B3DA8-91B5-4682-A130-715412A1A252}" = Paint.NET v3.5.4
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP270_series" = Canon MP270 series MP Drivers
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons 6.30 J1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F92ABBB-6BBF-11D5-B229-002078017FBF}" = NetWaiting
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{57D32909-FCA8-A78B-2AD2-2A50F5E11858}" = ccc-core-static
"{72736F5F-520D-472A-88CC-7B02872FD34E}" = ATI Catalyst Registration
"{8D42CBBC-2089-44AB-8021-369DDB962816}" = Photo Collage 3.0
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{B2BC4969-2DE3-499A-9A3D-1B7C34ED12C3}" = HP Webcam
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D53599B0-AA76-4CC6-B9EF-CC2F27B56F24}_is1" = Picture Collage Maker 2.4.0
"{E6EB53D4-5AD0-07F0-2DAC-0A2D624DF39D}" = ccc-utility
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"B6E4AD11B487308A361AACB990AC314D7DEAD995" = Windows-Treiberpaket - usbvm326 (usbvm328) Image  (10/12/2006 326.1.061012.25)
"CCleaner" = CCleaner
"CNXT_HDAUDIO" = Conexant HD Audio
"CNXT_MODEM_PCI_VEN_14F1&DEV_5045_at8ven5m" = Soft Data Fax Modem with SmartCP
"Foxit Creator" = Foxit Creator
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.6
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"NVIDIA Drivers" = NVIDIA Drivers
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Uninstall_is1" = Uninstall 1.0.0.1
"WIC" = Windows Imaging Component
"Windows XP Service Pack" = Windows XP Service Pack 3
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 20.05.2010 11:38:24 | Computer Name = PCX | Source = .NET Runtime Optimization Service | ID = 1111
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Service reached limit of transient errors. Will shut down. Last error returned
 from Service Manager: 0x80004005. 
 
Error - 26.05.2010 18:40:53 | Computer Name = PCX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x027722d4.
 
Error - 31.05.2010 10:57:11 | Computer Name = PCX | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Mr.x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\i3oe1jx4.default\Cache\B4A870EDd01.

 [ACCESS_VIOLATION Exception!! EIP = 0x1abc258]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 25.06.2010 00:35:24 | Computer Name = PCx | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Mr.x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\i3oe1jx4.default\Cache\8AC7E55Dd01.

 [ACCESS_VIOLATION Exception!! EIP = 0x1acc898]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 30.06.2010 08:24:06 | Computer Name = PCx | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Mr.x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\i3oe1jx4.default\Cache\4B0C63C5d01.

 [ACCESS_VIOLATION Exception!! EIP = 0x1acc898]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 22.07.2010 14:18:44 | Computer Name = PCX | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 22.07.2010 14:18:44 | Computer Name = PCX | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 21.09.2010 10:04:52 | Computer Name = PCX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.10.2010 03:37:18 | Computer Name = PCX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AlphaAudioPlayer.exe, Version 0.0.0.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 19.10.2010 12:39:44 | Computer Name = PCX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.3909,
 fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0000100b.
 
[ System Events ]
Error - 08.10.2010 02:46:01 | Computer Name = PCX | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst Dnscache.
 
Error - 18.10.2010 02:19:22 | Computer Name = PCX | Source = Print | ID = 6161
Description = Das Dokument EZverlängerung, im Besitz von Mr.X, konnte
 nicht auf dem Drucker Canon MP270 series Printer gedruckt werden. Datentyp: NT 
EMF 1.008. Größe der Warteschlangendatei in Bytes: 65536. Anzahl der gedruckten 
Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten:
 0. Clientcomputer: \\PCX. Vom Druckprozessor zurückgelieferter Win32-Fehlercode:
 2 (0x2). 
 
Error - 18.10.2010 07:19:52 | Computer Name = PCX | Source = Print | ID = 6161
Description = Das Dokument EZverlängerung, im Besitz von Mr.X, konnte
 nicht auf dem Drucker Canon MP270 series Printer gedruckt werden. Datentyp: NT 
EMF 1.008. Größe der Warteschlangendatei in Bytes: 65536. Anzahl der gedruckten 
Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten:
 0. Clientcomputer: \\PCX. Vom Druckprozessor zurückgelieferter Win32-Fehlercode:
 2 (0x2). 
 
Error - 22.10.2010 09:33:14 | Computer Name = PCX| Source = Print | ID = 6161
Description = Das Dokument C:\Dokumente und Einstellungen\Mr.x\Desktop\ HAMBURG.PDF, im Besitz von MR.X, konnte nicht auf dem Drucker Canon MP270
 series Printer gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
 in Bytes: 5361916. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des 
Dokuments: 2. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\Pcx. Vom 
Druckprozessor zurückgelieferter Win32-Fehlercode: 2 (0x2). 
 
Error - 22.10.2010 09:34:19 | Computer Name = PCX | Source = Print | ID = 6161
Description = Das Dokument C:\Dokumente und Einstellungen\Mr.x\Desktop\
 HAMBURG.PDF, im Besitz von Mr.x, konnte nicht auf dem Drucker Canon MP270
 series Printer gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
 in Bytes: 4521936. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des 
Dokuments: 2. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\PCx. Vom 
Druckprozessor zurückgelieferter Win32-Fehlercode: 2 (0x2). 
 
Error - 22.10.2010 09:40:34 | Computer Name = PCX | Source = Print | ID = 6161
Description = Das Dokument C:\Dokumente und Einstellungen\Mr.X\Desktop\
 HAMBURG.PDF, im Besitz von Mr.x, konnte nicht auf dem Drucker Canon MP270
 series Printer gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
 in Bytes: 4521936. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des 
Dokuments: 2. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\PCX. Vom 
Druckprozessor zurückgelieferter Win32-Fehlercode: 2 (0x2). 
 
Error - 25.10.2010 06:19:15 | Computer Name = PCX | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
 innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
 oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
 Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
 Transaktion durchzuführen.
 
Error - 28.10.2010 01:52:16 | Computer Name = PCx | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
 innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
 oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
 Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
 Transaktion durchzuführen.
 
Error - 29.10.2010 09:12:17 | Computer Name = PCx | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst W32Time.
 
Error - 29.10.2010 09:12:47 | Computer Name = PCx | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst SharedAccess.
 
 
< End of report >

--- --- ---
und OTL sagt 2.:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 31.10.2010 22:37:29 - Run 1
OTL by OldTimer - Version 3.2.17.1     Folder = C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,16 Gb Total Space | 72,88 Gb Free Space | 78,23% Space Free | Partition Type: NTFS
Drive D: | 93,16 Gb Total Space | 90,51 Gb Free Space | 97,16% Space Free | Partition Type: NTFS
 
Computer Name: PCx | User Name: Mr.x | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mlang.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (UIUSys) -- C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS File not found
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (rismxdp) -- C:\WINDOWS\system32\drivers\rixdptsk.sys (REDC)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (rimsptsk) -- C:\WINDOWS\system32\drivers\rimsptsk.sys (REDC)
DRV - (rimmptsk) -- C:\WINDOWS\system32\drivers\rimmptsk.sys (REDC)
DRV - (eabusb) -- C:\WINDOWS\system32\drivers\EabUsb.sys (Hewlett-Packard Development Company, L.P.)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (ha10kx2k) -- C:\WINDOWS\system32\drivers\ha10kx2k.sys (Creative Technology Ltd)
DRV - (ctac32k) -- C:\WINDOWS\system32\drivers\ctac32k.sys (Creative Technology Ltd)
DRV - (ctaud2k) Creative Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\ctaud2k.sys (Creative Technology Ltd)
DRV - (ctdvda2k) -- C:\WINDOWS\system32\drivers\ctdvda2k.sys (Creative Technology Ltd)
DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)
DRV - (hap16v2k) -- C:\WINDOWS\system32\drivers\haP16v2k.sys (Creative Technology Ltd)
DRV - (emupia) -- C:\WINDOWS\system32\drivers\emupia2k.sys (Creative Technology Ltd)
DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)
DRV - (PfModNT) -- C:\WINDOWS\system32\drivers\pfmodnt.sys (Creative Technology Ltd.)
DRV - (ctprxy2k) -- C:\WINDOWS\system32\drivers\ctprxy2k.sys (Creative Technology Ltd)
DRV - (ATIAVAIW) -- C:\WINDOWS\system32\drivers\atinavt2.sys (ATI Technologies Inc.)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (HpqKbFiltr) -- C:\WINDOWS\system32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\CHDAud.sys (Conexant Systems Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (HBtnKey) -- C:\WINDOWS\system32\drivers\CPQBttn.sys (Hewlett-Packard Development Company, L.P.)
DRV - (nvsmu) -- C:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation)
DRV - (AN983) -- C:\WINDOWS\system32\drivers\an983.sys (ADMtek Incorporated.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (PRISM_A02) -- C:\WINDOWS\system32\drivers\PRISMA02.sys (Conexant Systems, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..browser.startup.homepage: "hxxp://www.babycenter.de/baby/sicherheit/ersticken/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.31 22:14:17 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.31 22:14:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Components: C:\Programme\Mozilla Sunbird\components [2010.10.31 10:20:03 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Plugins: C:\Programme\Mozilla Sunbird\plugins
 
[2010.10.31 10:20:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mr.x\Anwendungsdaten\Mozilla\Extensions
[2010.10.31 10:20:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mr.x\Anwendungsdaten\Mozilla\Extensions\{718e30fb-e89b-41dd-9da7-e25a45638b28}
[2010.10.31 21:56:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mr.x\Anwendungsdaten\Mozilla\Firefox\Profiles\i3oe1jx4.default\extensions
[2010.05.31 08:16:49 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Mr.x\Anwendungsdaten\Mozilla\Firefox\Profiles\i3oe1jx4.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.10.31 10:20:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mr.x\Anwendungsdaten\Mozilla\Sunbird\Profiles\6w6y28kf.default\extensions
[2010.10.31 22:14:15 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.06.20 21:43:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.06.20 21:42:57 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.10.27 06:44:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.10.27 06:44:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.10.27 06:44:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.10.27 06:44:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.10.27 06:44:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\CHDAudPropShortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Mr.x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Mr.x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.13 08:28:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\Shell - "" = AutoRun
O33 - MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
O33 - MountPoints2\{97d56b88-14bd-11df-a6b2-0016369d57d1}\Shell - "" = AutoRun
O33 - MountPoints2\{97d56b88-14bd-11df-a6b2-0016369d57d1}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.31 21:56:53 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Mr.x\Recent
[2010.10.31 21:55:43 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.10.31 21:21:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mr.x\Anwendungsdaten\Malwarebytes
[2010.10.31 21:21:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.31 21:21:41 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.31 21:21:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.31 21:21:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.31 19:45:52 | 000,000,000 | ---D | C] -- C:\Programme\Foxit Software
[2010.10.31 19:45:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Foxit Software
[2010.10.31 10:12:21 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Sunbird
[2010.10.13 08:13:32 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll
[2010.10.13 08:13:32 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll
[2010.10.13 08:12:49 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll
[2008.12.12 15:52:08 | 000,065,536 | ---- | C] ( ) -- C:\WINDOWS\System32\a3d.dll
[12 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.31 21:46:13 | 000,051,048 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.10.31 21:46:04 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.28 06:52:21 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.10.27 09:02:36 | 000,450,550 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.27 09:02:36 | 000,433,988 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.27 09:02:36 | 000,080,996 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.27 09:02:36 | 000,068,350 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.25 15:32:38 | 000,037,888 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.25 15:01:38 | 001,925,536 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\Mama.JPG
[2010.10.24 13:30:40 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.22 14:39:10 | 003,478,608 | ---- | M] () -- C:\WINDOWS\System32\n
[2010.10.21 08:28:19 | 000,012,174 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\sauer.odt
[2010.10.20 18:59:55 | 000,127,406 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\L.jpg
[2010.10.18 07:19:00 | 000,011,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\EZverlängerung.doc
[2010.10.16 18:57:50 | 000,053,017 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\B.jpeg
[2010.10.16 18:57:43 | 000,044,172 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\BT.jpeg
[2010.10.16 15:57:57 | 000,427,935 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\Sbunt.jpg
[2010.10.16 14:22:02 | 000,968,358 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\La.png
[2010.10.16 14:13:58 | 000,066,974 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\Collage Okt.jpg
[2010.10.16 12:21:03 | 000,013,452 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\aida.odt
[2010.10.13 17:40:25 | 000,134,872 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.07 20:08:26 | 000,016,327 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\geburtstagskarte.odt
[2010.10.07 20:01:27 | 000,370,176 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\Brief.doc
[2010.10.07 18:00:07 | 000,020,958 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\Lars-Renate.odt
[2010.10.07 13:37:29 | 000,017,920 | ---- | M] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\idienstplan.doc
[2010.10.05 23:05:49 | 000,085,900 | ---- | M] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\schaf.gif
[12 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.25 15:39:49 | 001,925,536 | ---- | C] () -- C:\Dokumente und Einstellungen\Mr.x\Desktop\Mama .JPG
[2010.10.22 14:35:53 | 003,478,608 | ---- | C] () -- C:\WINDOWS\System32\n
[2010.10.21 08:28:19 | 000,012,174 | ---- | C] () -- C:\Dokumente und Einstellungen\Mr.x\Eigene Dateien\sauer.odt
[2010.10.20 18:59:55 | 000,127,406 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\L.jpg
[2010.10.18 07:07:29 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Eigene Dateien\EZverlängerung.doc
[2010.10.16 18:57:50 | 000,053,017 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\B.jpeg
[2010.10.16 18:57:42 | 000,044,172 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\BT.jpeg
[2010.10.16 15:56:22 | 000,427,935 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\Sbunt.jpg
[2010.10.16 14:16:25 | 000,968,358 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\Collage.png
[2010.10.16 14:13:58 | 000,066,974 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\Collage Okt.jpg
[2010.10.16 12:21:02 | 000,013,452 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\aida.odt
[2010.10.07 20:08:26 | 000,016,327 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Eigene Dateien\geburtstagskarte.odt
[2010.10.07 17:59:45 | 000,020,958 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Eigene Dateien\Lars-Renate.odt
[2010.10.05 23:05:49 | 000,085,900 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\schaf.gif
[2010.10.05 21:41:01 | 000,017,920 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Desktop\dienstplan.doc
[2010.02.25 10:18:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Lokale Einstellungen\Anwendungsdaten\FnF4.txt
[2010.02.03 16:57:44 | 000,037,888 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.29 14:14:33 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2010.01.29 14:14:33 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2010.01.29 14:14:33 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\mr.x\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2010.01.21 15:16:39 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.12.29 11:18:25 | 000,016,480 | R--- | C] () -- C:\WINDOWS\System32\rixdicon.dll
[2009.12.29 11:08:34 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2008.09.03 20:35:58 | 000,006,144 | ---- | C] () -- C:\WINDOWS\System32\winssl.dll
[2008.02.13 08:12:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.07.20 20:58:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.07.20 20:58:00 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.07.20 20:58:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.07.20 20:58:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.07.20 20:58:00 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2005.05.08 17:56:44 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2004.08.04 01:57:34 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

< End of report >

--- --- ---

Da steht was von ich soll Antivir informieren?

cosinus · 31.10.2010, 23:23

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O33 - MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\Shell - "" = AutoRun
O33 - MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
O33 - MountPoints2\{97d56b88-14bd-11df-a6b2-0016369d57d1}\Shell - "" = AutoRun
O33 - MountPoints2\{97d56b88-14bd-11df-a6b2-0016369d57d1}\Shell\AutoRun - "" = Auto&Play
[2010.10.22 14:35:53 | 003,478,608 | ---- | C] () -- C:\WINDOWS\System32\n
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

keinplanman · 01.11.2010, 08:12

Das hat schonmal geklappt

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ff92b06-0d94-11df-a6ad-0016369d57d1}\ not found.
File F:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97d56b88-14bd-11df-a6b2-0016369d57d1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97d56b88-14bd-11df-a6b2-0016369d57d1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97d56b88-14bd-11df-a6b2-0016369d57d1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97d56b88-14bd-11df-a6b2-0016369d57d1}\ not found.
C:\WINDOWS\system32\n moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 547603 bytes
->Temporary Internet Files folder emptied: 55091 bytes

User: All Users

User: Außmann
->Temp folder emptied: 24106481 bytes
->Temporary Internet Files folder emptied: 278662 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 93508330 bytes
->Flash cache emptied: 3525 bytes

User: Default User
->Temp folder emptied: 51990049 bytes
->Temporary Internet Files folder emptied: 202700 bytes

User: Gast
->Temp folder emptied: 51991876 bytes
->Temporary Internet Files folder emptied: 202700 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 56974162 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6393007 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 2845414 bytes

Total Files Cleaned = 276,00 mb

OTL by OldTimer - Version 3.2.17.1 log created on 11012010_080819

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 01.11.2010, 17:17

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

keinplanman · 01.11.2010, 20:34

Ähm, ich weiß zwar nicht, was ich da gemacht hab, aber das hier kam dabei herum:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-31.04 - Mr.x 01.11.2010  20:05:46.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1572 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mr.x\Eigene Dateien\Downloads\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-01 bis 2010-11-01  ))))))))))))))))))))))))))))))
.

2010-11-01 07:08 . 2010-11-01 07:08	--------	d-----w-	C:\_OTL
2010-10-31 21:14 . 2010-10-27 06:13	25048	----a-w-	c:\programme\Mozilla Firefox\components\browserdirprovider.dll
2010-10-31 21:14 . 2010-10-27 06:13	140248	----a-w-	c:\programme\Mozilla Firefox\components\brwsrcmp.dll
2010-10-31 20:55 . 2010-10-31 20:55	--------	d-----w-	c:\programme\CCleaner
2010-10-31 20:21 . 2010-10-31 20:21	--------	d-----w-	c:\dokumente und einstellungen\Mr.xann\Anwendungsdaten\Malwarebytes
2010-10-31 20:21 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-31 20:21 . 2010-10-31 20:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-31 20:21 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-31 20:21 . 2010-10-31 20:21	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-31 18:45 . 2010-10-31 18:45	--------	d-----w-	c:\programme\Foxit Software
2010-10-31 18:45 . 2010-10-31 18:45	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Foxit Software
2010-10-31 09:12 . 2010-10-31 18:25	--------	d-----w-	c:\programme\Mozilla Sunbird
2010-10-29 19:32 . 2010-10-29 19:32	--------	d-----w-	c:\dokumente und einstellungen\Gast
2010-10-15 06:20 . 2010-10-27 06:13	719832	----a-w-	c:\programme\Mozilla Firefox\mozcpp19.dll
2010-10-15 06:20 . 2010-10-27 06:13	16856	----a-w-	c:\programme\Mozilla Firefox\plugin-container.exe
2010-10-15 06:12 . 2010-10-15 06:12	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-10-13 07:13 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2010-10-13 07:13 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 07:12 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:22 . 2006-02-28 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2006-02-28 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2006-02-28 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2006-02-28 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-09 14:17 . 2006-02-28 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2010-09-09 14:17 . 2006-02-28 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2010-09-09 14:17 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2010-09-09 14:13 . 2006-02-28 12:00	371200	----a-w-	c:\windows\system32\html.iec
2010-09-01 11:50 . 2006-02-28 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2006-02-28 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2006-02-28 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2006-02-28 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 06:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2006-02-28 12:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2006-02-28 12:00	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2006-02-28 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-07-27 61952]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]
"nwiz"="nwiz.exe" [2006-07-20 1519616]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 202032]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2004-06-02 11:07	57344	----a-w-	c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
2004-06-02 11:07	2533888	----a-w-	c:\windows\ALCWZRD.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare]
2007-10-04 17:38	307200	----a-w-	c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-01-21 11:17	61440	----a-w-	c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaMe\\miranda32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.02.2010 18:18 108289]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [30.01.2010 12:40 264704]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = fritz.box
FF - ProfilePath - c:\dokumente und einstellungen\Mr.x\Anwendungsdaten\Mozilla\Firefox\Profiles\i3oe1jx4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.babycenter.de/baby/sicherheit/ersticken/
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)
MSConfigStartUp-SoundMan - SOUNDMAN.EXE
MSConfigStartUp-Verknüpfung mit der High Definition Audio-Eigenschaftenseite - HDAudPropShortcut.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-01 20:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST9100824AS rev.7.24 -> \Device\00000073

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvatabus.sys 
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A717AB8]
3 CLASSPNP[0xBA108FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000072[0x8A724190]
5 ACPI[0xB9F7E620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000071[0x8A77B030]
kernel: MBR read successfully
user != kernel MBR !!! 

**************************************************************************
.
Zeit der Fertigstellung: 2010-11-01  20:08:50
ComboFix-quarantined-files.txt  2010-11-01 19:08

Vor Suchlauf: 6 Verzeichnis(se), 78.440.181.760 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 78.551.150.592 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 34259F68BFE158085372F1AB0C95F43E

--- --- ---

Danke dir

cosinus · 01.11.2010, 20:41

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

keinplanman · 01.11.2010, 22:06

Das GMER ging tatsächlich nicht, hat sich zweimal aufgehängt...
Bei Osam fehlten mir 3x "Next" (die sollte ich laut anleitung klicken, es gab aber nur noch "close"), aber ein Logfile ist trotzdem herausgekommen:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:04:39 on 01.11.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.12

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\AntiVir Desktop\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\catchme.sys  (File not found)
"cercsr6" (cercsr6) - "Adaptec, Inc." - C:\WINDOWS\system32\drivers\cercsr6.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Conexant Setup API" (UIUSys) - ? - C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"ufliapog" (ufliapog) - ? - C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\ufliapog.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WIDCOMM USB Bluetooth Driver" (BTWUSB) - "Broadcom Corporation." - C:\WINDOWS\System32\Drivers\btwusb.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Außmann\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"nwiz" - "NVIDIA Corporation" - nwiz.exe /installquiet /nodetect
"QlbCtrl.exe" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Und das andere:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 142):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 intelide.sys
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F30000 atapi.sys
0xB9F17000 nvatabus.sys
0xB9EFE000 nvata.sys
0xBA338000 cercsr6.sys
0xB9EE6000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EC6000 fltmgr.sys
0xB9EB4000 sr.sys
0xB9E9D000 KSecDD.sys
0xB9E10000 Ntfs.sys
0xB9DE3000 NDIS.sys
0xB9DC9000 Mup.sys
0xBA258000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBA248000 \SystemRoot\system32\DRIVERS\processr.sys
0xB9D8D000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9D89000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
0xBA268000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBA3F0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB9D85000 \SystemRoot\System32\drivers\wmiacpi.sys
0xB8E34000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xB8AB0000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB8A9C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9A75000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB8A78000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA278000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA288000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8A55000 \SystemRoot\system32\DRIVERS\ks.sys
0xB8A41000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xBA400000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0xBA298000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0xB89F5000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0xB89CD000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9A61000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB8982000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB894B000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xBA2B8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA408000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0xBA2C8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB88D0000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB7A7A000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5DA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA448000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA7A2000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA318000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA54C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB7A63000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA128000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA138000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA450000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB7A52000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA148000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA478000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA468000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA158000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5DC000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB79F4000 \SystemRoot\system32\DRIVERS\update.sys
0xBA558000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA55C000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xBA168000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA178000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB2F0D000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xAC8FA000 \SystemRoot\system32\drivers\CHDAud.sys
0xAC8D6000 \SystemRoot\system32\drivers\portcls.sys
0xB16AC000 \SystemRoot\system32\drivers\drmk.sys
0xAC8A3000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAC7B1000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xAC6FF000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xB34EE000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA60A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA86C4000 \SystemRoot\System32\Drivers\Null.SYS
0xBA60E000 \SystemRoot\System32\Drivers\Beep.SYS
0xB422C000 \SystemRoot\System32\drivers\vga.sys
0xBA610000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA612000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB4224000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB421C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA8FF8000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA7C31000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA7BD8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA7BB0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA7B8A000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA7B68000 \SystemRoot\System32\drivers\afd.sys
0xB4D17000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB4CF7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB352E000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA7B3D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA7ACD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB4CE7000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB4CD7000 \SystemRoot\System32\Drivers\Fips.SYS
0xB3526000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA7AAF000 \SystemRoot\System32\Drivers\usbvideo.sys
0xA7A93000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA616000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB4CA7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA7A7A000 \SystemRoot\System32\Drivers\dump_nvatabus.sys
0xBA61A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA8842000 \SystemRoot\System32\drivers\Dxapi.sys
0xB351E000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xA823D000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA6251000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB3A4C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA5984000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA61B5000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA58B4000 \SystemRoot\system32\DRIVERS\srv.sys
0xABF99000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
0xA44C6000 \SystemRoot\system32\drivers\wdmaud.sys
0xB93EA000 \SystemRoot\system32\drivers\sysaudio.sys
0xA369C000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA380000 \??\C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\mbr.sys
0xBA420000 \??\C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\catchme.sys
0xBA648000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0x9A21F000 \??\C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\ufliapog.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
792 C:\WINDOWS\system32\smss.exe
840 csrss.exe
872 C:\WINDOWS\system32\winlogon.exe
916 C:\WINDOWS\system32\services.exe
928 C:\WINDOWS\system32\lsass.exe
1100 C:\WINDOWS\system32\svchost.exe
1164 svchost.exe
1204 C:\WINDOWS\system32\svchost.exe
1316 svchost.exe
1352 svchost.exe
1648 C:\WINDOWS\system32\spoolsv.exe
1700 C:\Programme\Avira\AntiVir Desktop\sched.exe
1744 svchost.exe
1796 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1836 C:\Programme\Java\jre6\bin\jqs.exe
1872 C:\WINDOWS\system32\nvsvc32.exe
1932 C:\WINDOWS\system32\svchost.exe
152 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
1388 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1456 alg.exe
1504 wmiprvse.exe
2860 C:\WINDOWS\system32\rundll32.exe
2876 C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
2892 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2904 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2936 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1072 C:\WINDOWS\system32\svchost.exe
3300 C:\WINDOWS\explorer.exe
3960 C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
3192 C:\WINDOWS\system32\wscntfy.exe
3816 C:\Programme\Mozilla Firefox\firefox.exe
1440 C:\Programme\Mozilla Firefox\plugin-container.exe
2612 C:\Dokumente und Einstellungen\Außmann\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST9100824AS, Rev: 7.24
PhysicalDrive1 Model Number: ST9100824AS, Rev: 7.24

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
93 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 4233B6AEF8AB80396FAFD8B35E71C44733992822

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Ich hoff ma, du kannst damit was anfangen, ich versteh nur Bahnhof

cosinus · 02.11.2010, 14:48

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
Enter your choice: 2
Enter the physical disk number to fix (0-99, -1 to cancel): 1
Please select the MBR code to write to this drive: 1 (für XP)
Gib nun Yes ein und bestätige mit ENTER.
Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

keinplanman · 02.11.2010, 16:37

1. Dokument:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 139):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 intelide.sys
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F30000 atapi.sys
0xB9F17000 nvatabus.sys
0xB9EFE000 nvata.sys
0xBA338000 cercsr6.sys
0xB9EE6000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EC6000 fltmgr.sys
0xB9EB4000 sr.sys
0xB9E9D000 KSecDD.sys
0xB9E10000 Ntfs.sys
0xB9DE3000 NDIS.sys
0xB9DC9000 Mup.sys
0xBA258000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBA248000 \SystemRoot\system32\DRIVERS\processr.sys
0xB9D99000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9D95000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
0xBA268000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBA3E8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB9D91000 \SystemRoot\System32\drivers\wmiacpi.sys
0xB8C55000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xB88D1000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB88BD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB98A2000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB8899000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA278000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA288000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA298000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8876000 \SystemRoot\system32\DRIVERS\ks.sys
0xB8862000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0xB8816000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0xB87EE000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB988E000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB87A3000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB876C000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xBA2B8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA400000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0xBA2C8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB86F1000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xBA408000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB86BC000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5CE000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA410000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA7A0000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA2D8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB988A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB867D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB924B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB91EB000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA428000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB78B7000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA148000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA450000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA468000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA158000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5D8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB7815000 \SystemRoot\system32\DRIVERS\update.sys
0xBA550000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA554000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xBA168000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA178000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB3FBD000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xAD1A8000 \SystemRoot\system32\drivers\CHDAud.sys
0xAD184000 \SystemRoot\system32\drivers\portcls.sys
0xAEF1B000 \SystemRoot\system32\drivers\drmk.sys
0xAD151000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAD05F000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xACFAD000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xB32BB000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA618000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA8F72000 \SystemRoot\System32\Drivers\Null.SYS
0xBA61A000 \SystemRoot\System32\Drivers\Beep.SYS
0xAEE91000 \SystemRoot\System32\drivers\vga.sys
0xBA61C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA61E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xAE7F7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xAEE89000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA96CA000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA8176000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA811D000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA80F5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA80CF000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA80AD000 \SystemRoot\System32\drivers\afd.sys
0xB467B000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB465B000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAEE81000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA8082000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA8F27000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xA8012000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA8F17000 \SystemRoot\System32\Drivers\Fips.SYS
0xAEE79000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA7FF4000 \SystemRoot\System32\Drivers\usbvideo.sys
0xA7FD8000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA622000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA8EE7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA7FBF000 \SystemRoot\System32\Drivers\dump_nvatabus.sys
0xBA62E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA91B4000 \SystemRoot\System32\drivers\Dxapi.sys
0xAEE71000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xA83F2000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA72D1000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB3736000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA6A2C000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA72B5000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA6A14000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
0xA695C000 \SystemRoot\system32\DRIVERS\srv.sys
0xA59EF000 \SystemRoot\system32\drivers\wdmaud.sys
0xBA188000 \SystemRoot\system32\drivers\sysaudio.sys
0xA5820000 \SystemRoot\System32\Drivers\HTTP.sys
0xA4BE0000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 33):
0 System Idle Process
4 System
784 C:\WINDOWS\system32\smss.exe
840 csrss.exe
868 C:\WINDOWS\system32\winlogon.exe
916 C:\WINDOWS\system32\services.exe
928 C:\WINDOWS\system32\lsass.exe
1108 C:\WINDOWS\system32\svchost.exe
1164 svchost.exe
1204 C:\WINDOWS\system32\svchost.exe
1328 svchost.exe
1352 svchost.exe
1660 C:\WINDOWS\system32\spoolsv.exe
1712 C:\Programme\Avira\AntiVir Desktop\sched.exe
1752 svchost.exe
1804 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1848 C:\Programme\Java\jre6\bin\jqs.exe
1888 C:\WINDOWS\system32\nvsvc32.exe
1956 C:\WINDOWS\system32\svchost.exe
2044 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
1400 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1460 alg.exe
1512 wmiprvse.exe
1388 C:\WINDOWS\explorer.exe
1532 C:\WINDOWS\system32\rundll32.exe
460 C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
372 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
204 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
572 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
3668 C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
3212 C:\Programme\Mozilla Firefox\firefox.exe
2604 C:\Programme\Mozilla Firefox\plugin-container.exe
3644 C:\Dokumente und Einstellungen\Außmann\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST9100824AS, Rev: 7.24
PhysicalDrive1 Model Number: ST9100824AS, Rev: 7.24

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
93 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 4233B6AEF8AB80396FAFD8B35E71C44733992822

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 1Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.

Done!

2.Dokument:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 142):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 intelide.sys
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F30000 atapi.sys
0xB9F17000 nvatabus.sys
0xB9EFE000 nvata.sys
0xBA338000 cercsr6.sys
0xB9EE6000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EC6000 fltmgr.sys
0xB9EB4000 sr.sys
0xB9E9D000 KSecDD.sys
0xB9E10000 Ntfs.sys
0xB9DE3000 NDIS.sys
0xB9DC9000 Mup.sys
0xBA258000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBA248000 \SystemRoot\system32\DRIVERS\processr.sys
0xB9D8D000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9D89000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
0xBA268000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBA3F0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB9D85000 \SystemRoot\System32\drivers\wmiacpi.sys
0xB8E34000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xB8AB0000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB8A9C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9A75000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB8A78000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA278000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA288000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8A55000 \SystemRoot\system32\DRIVERS\ks.sys
0xB8A41000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xBA400000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0xBA298000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0xB89F5000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0xB89CD000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9A61000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB8982000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB894B000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xBA2B8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA408000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0xBA2C8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB88D0000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB7A7A000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5DA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA448000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA7A2000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA318000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA54C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB7A63000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA128000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA138000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA450000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB7A52000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA148000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA478000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA468000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA158000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5DC000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB79F4000 \SystemRoot\system32\DRIVERS\update.sys
0xBA558000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA55C000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xBA168000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA178000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB2F0D000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xAC8FA000 \SystemRoot\system32\drivers\CHDAud.sys
0xAC8D6000 \SystemRoot\system32\drivers\portcls.sys
0xB16AC000 \SystemRoot\system32\drivers\drmk.sys
0xAC8A3000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAC7B1000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xAC6FF000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xB34EE000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA60A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA86C4000 \SystemRoot\System32\Drivers\Null.SYS
0xBA60E000 \SystemRoot\System32\Drivers\Beep.SYS
0xB422C000 \SystemRoot\System32\drivers\vga.sys
0xBA610000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA612000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB4224000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB421C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA8FF8000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA7C31000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA7BD8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA7BB0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA7B8A000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA7B68000 \SystemRoot\System32\drivers\afd.sys
0xB4D17000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB4CF7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB352E000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA7B3D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA7ACD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB4CE7000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB4CD7000 \SystemRoot\System32\Drivers\Fips.SYS
0xB3526000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA7AAF000 \SystemRoot\System32\Drivers\usbvideo.sys
0xA7A93000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA616000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB4CA7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA7A7A000 \SystemRoot\System32\Drivers\dump_nvatabus.sys
0xBA61A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA8842000 \SystemRoot\System32\drivers\Dxapi.sys
0xB351E000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xA823D000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA6251000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB3A4C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA5984000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA61B5000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA58B4000 \SystemRoot\system32\DRIVERS\srv.sys
0xABF99000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
0xA44C6000 \SystemRoot\system32\drivers\wdmaud.sys
0xB93EA000 \SystemRoot\system32\drivers\sysaudio.sys
0xA369C000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA380000 \??\C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\mbr.sys
0xBA420000 \??\C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\catchme.sys
0xBA648000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0x9A21F000 \??\C:\DOKUME~1\AUMANN~1\LOKALE~1\Temp\ufliapog.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
792 C:\WINDOWS\system32\smss.exe
840 csrss.exe
872 C:\WINDOWS\system32\winlogon.exe
916 C:\WINDOWS\system32\services.exe
928 C:\WINDOWS\system32\lsass.exe
1100 C:\WINDOWS\system32\svchost.exe
1164 svchost.exe
1204 C:\WINDOWS\system32\svchost.exe
1316 svchost.exe
1352 svchost.exe
1648 C:\WINDOWS\system32\spoolsv.exe
1700 C:\Programme\Avira\AntiVir Desktop\sched.exe
1744 svchost.exe
1796 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1836 C:\Programme\Java\jre6\bin\jqs.exe
1872 C:\WINDOWS\system32\nvsvc32.exe
1932 C:\WINDOWS\system32\svchost.exe
152 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
1388 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1456 alg.exe
1504 wmiprvse.exe
2860 C:\WINDOWS\system32\rundll32.exe
2876 C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
2892 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2904 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2936 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1072 C:\WINDOWS\system32\svchost.exe
3300 C:\WINDOWS\explorer.exe
3960 C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
3192 C:\WINDOWS\system32\wscntfy.exe
3816 C:\Programme\Mozilla Firefox\firefox.exe
1440 C:\Programme\Mozilla Firefox\plugin-container.exe
2612 C:\Dokumente und Einstellungen\Außmann\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST9100824AS, Rev: 7.24
PhysicalDrive1 Model Number: ST9100824AS, Rev: 7.24

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
93 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 4233B6AEF8AB80396FAFD8B35E71C44733992822

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Was bekommst du eigentlich hinterher für all die Mühen???

31.10.2010, 20:29	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivir löscht Trojaner nicht, ich bin absoluter Laie, Lofile inside :( Dann sieht doch ins Protokoll rein und poste es. __________________ Logfiles bitte immer in CODE-Tags posten

Antivir löscht Trojaner nicht, ich bin absoluter Laie, Lofile inside :(

Log-Analyse und Auswertung: Antivir löscht Trojaner nicht, ich bin absoluter Laie, Lofile inside :(