Hallo Arne,

mein Rechner meldete soeben, dass Windows Systemwiederherstellung und Roxio Back on Track (war auf meinem HP mini100c installiert) nicht parallel laufen können.
Es wurde geraten, die Windows Systemwiederherstellung zu deaktivieren. Ist das richtig?

Viele Grüße,
kiki

Ja war so ok. Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

File::
c:\windows\updater4g.exe
c:\windows\starter4g.exe
c:\windows\service4g.exe
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

Danke zunächst für Deine Hilfe & die ganzen Schritt-für-Schritt-Anweisungen!
Ich habe alles ausgeführt, wie Du es beschrieben hast. Nach dem Neustart des Computers meldete Combofix zunächst, es würde eine Logdatei erstellen.
Doch kurz darauf ist mein Rechner wieder neu gestartet. Es erschien dann die Windows-Meldung, dass "das System nach einem schwerwiegenden Fehler wieder ausgeführt" wird.
Ich poste Dir hier mal die Fehlermeldung:

Problemsignatur:
BCCode : 1000008e BCP1 : 80000004 BCP2 : 8054BDF4 BCP3 : 9B35B594
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

Problembericht: enthaltene Dateien
C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\Mini110910-01.dmp
C:\DOKUME~1\Kirsten\LOKALE~1\Temp\WER00c3.dir00\sysdata.xml


Das Logfile von Combofix habe ich danach unter C:\\Combofix.txt abgerufen:

ComboFix 10-11-07.01 - Kirsten 09.11.2010 10:14:40.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.249 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kirsten\Desktop\cofi.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Kirsten\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\service4g.exe"
"c:\windows\starter4g.exe"
"c:\windows\updater4g.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\service4g.exe
c:\windows\starter4g.exe
c:\windows\updater4g.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XS_Stick_Service
-------\Service_XS Stick Service


((((((((((((((((((((((( Dateien erstellt von 2010-10-09 bis 2010-11-09 ))))))))))))))))))))))))))))))
.

Viele Grüße,
kiki

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi Arne,

gestern abend hat Avira leider schon wieder vor einem Virus gewarnt. Es wurde der Worm\Rbot.655092 in folgender Datei entdeckt:
C:\\Qoobox\...\updater4g.exe.vir.
Die Datei habe ich danach zunächst in Quarantäne verschoben.
Anschließend habe ich meinen Rechner ein weiteres Mal mit Malwarebytes und Antivir gescannt; beide Scans waren unauffällig.

Soll ich trotzdem mit den Schritten fortfahren? Oder nochmal CCleaner durchlaufen lassen?

Viele Grüße,
kiki

Zitat:

Es wurde der Worm\Rbot.655092 in folgender Datei entdeckt:
C:\\Qoobox\...\updater4g.exe.vir.

Qoobox ist der Quarantäne/Backup Ordner von combofix. Was da gefunden wird bitte ignorieren, Schädlinge da drin sind isoliert und können so dem System nicht mehr schaden!
Mach jetzt die anderen Logs.

Okay! Danke für die Info zu Qoobox!
Ich setze mich jetzt an die nächsten Logs.

Viele Grüße,
kiki

Hi Arne,

der Scan von GMER hat ziemlich lange gedauert; hier kommen nun die Logs.

GMER:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-12 00:13:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.13.0
Running: wbhqtxmy.exe; Driver: C:\DOKUME~1\Kirsten\LOKALE~1\Temp\fftorfow.sys


---- System - GMER 1.0.15 ----

SSDT            A38CED36                                                                            ZwCreateKey
SSDT            A38CED2C                                                                            ZwCreateThread
SSDT            A38CED3B                                                                            ZwDeleteKey
SSDT            A38CED45                                                                            ZwDeleteValueKey
SSDT            A38CED4A                                                                            ZwLoadKey
SSDT            A38CED18                                                                            ZwOpenProcess
SSDT            A38CED1D                                                                            ZwOpenThread
SSDT            A38CED54                                                                            ZwReplaceKey
SSDT            A38CED4F                                                                            ZwRestoreKey
SSDT            A38CED40                                                                            ZwSetValueKey
SSDT            A38CED27                                                                            ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                             wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                             wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                              SaibIa32.sys (Disk Filter Driver/Sonic Solutions)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000

---- EOF - GMER 1.0.15 ----
         

--- --- ---



OSAM:
OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 00:55:06 on 12.11.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.12

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"BackOnTrack Instant Restore Idle.job" - "Sonic Solutions" - C:\Programme\Roxio\BackOnTrack\Instant Restore\RstIdle.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"hpBat.cpl" - ? - C:\WINDOWS\system32\hpBat.cpl  (File found, but it contains no detailed information)
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "Macrovision Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"hpBat.CPL" - ? - C:\Programme\Hewlett-Packard\HP BatteryCheck\hpBat.CPL  (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Kirsten\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"fftorfow" (fftorfow) - ? - C:\DOKUME~1\Kirsten\LOKALE~1\Temp\fftorfow.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Realtek IR Driver" (Rts516xIR) - ? - C:\WINDOWS\System32\DRIVERS\Rts516xIR.sys  (File not found)
"Realtek Smartcard Reader Driver" (USBCCID) - ? - C:\WINDOWS\System32\DRIVERS\Rts5161ccid.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"SysCow" (SysCow) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\syscow32x.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONFILTER.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "AOL Toolbar" - "AOL LLC" - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{DE9C389F-3316-41A7-809B-AA305ED9D922} "AOL Toolbar" - "AOL LLC" - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{7C554162-8CB7-45A4-B8F4-8EA1C75885F9} "AOL Toolbar BHO" - "AOL LLC" - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Kirsten\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.2.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ISUSPM" - "Macrovision Corporation" - "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"HP BTW Detect Program" - ? - C:\Programme\HP\HPBTWD.exe
"starter4g" - ? - C:\WINDOWS\starter4g.exe  (File not found)
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"WirelessAssistant" - "Hewlett-Packard" - C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Scheduler" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"BOTService" (BOTService) - "Sonic Solutions" - C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe
"GameConsoleService" (GameConsoleService) - "WildTangent, Inc." - C:\Programme\HP Games\HP Game Console\GameConsoleService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Roxio SAIB Service" (9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269) - ? - C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"WTGService" (WTGService) - ? - C:\Programme\XSManager\WTGService.exe  (File found, but it contains no detailed information)

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


und MBRCheck:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 129):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A88000 \WINDOWS\system32\KDCOM.DLL
0xF7998000 \WINDOWS\system32\BOOTVID.dll
0xF7458000 ACPI.sys
0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7447000 pci.sys
0xF7588000 isapnp.sys
0xF799C000 compbatt.sys
0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B50000 pciide.sys
0xF7808000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7A8C000 aliide.sys
0xF7A8E000 viaide.sys
0xF7A90000 intelide.sys
0xF7598000 MountMgr.sys
0xF7428000 ftdisk.sys
0xF79A4000 ACPIEC.sys
0xF7B51000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7810000 PartMgr.sys
0xF75A8000 VolSnap.sys
0xF734E000 iaStor.sys
0xF75B8000 disk.sys
0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF732E000 fltMgr.sys
0xF7316000 syscow32x.sys
0xF75D8000 PxHelp20.sys
0xF72FF000 KSecDD.sys
0xF7272000 Ntfs.sys
0xF7245000 NDIS.sys
0xF7818000 SaibIa32.sys
0xF75E8000 SahdIa32.sys
0xF722B000 Mup.sys
0xF77B8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5A74000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF5A60000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF5A38000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF588D000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF77D8000 \SystemRoot\system32\DRIVERS\l1c51x86.sys
0xF78A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5869000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78B0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77E8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78B8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF5838000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AC2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF77F8000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF57BC000 \SystemRoot\System32\Drivers\wdf01000.sys
0xF78C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF715B000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7A40000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF7C4F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7628000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF69C2000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF57A5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7638000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7648000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5794000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7658000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7668000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AC4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5771000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5713000 \SystemRoot\system32\DRIVERS\update.sys
0xF69B2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF609A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA81E9000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA24AF000 \SystemRoot\system32\drivers\sthda.sys
0xA248B000 \SystemRoot\system32\drivers\portcls.sys
0xA81D9000 \SystemRoot\system32\drivers\drmk.sys
0xA246F000 \SystemRoot\system32\drivers\AESTAud.sys
0xA80F4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B3E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA39DF000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B40000 \SystemRoot\System32\Drivers\Beep.SYS
0xA4731000 \SystemRoot\System32\drivers\vga.sys
0xF7B42000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B44000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA2239000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xA81B9000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xA4729000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xA4721000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA4719000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA80F0000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA2226000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA21CD000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA21A5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA217F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA215D000 \SystemRoot\System32\drivers\afd.sys
0xA81A9000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA4711000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA8199000 \SystemRoot\System32\Drivers\SaibVd32.sys
0xA2132000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA20C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA4814000 \SystemRoot\System32\Drivers\Fips.SYS
0xA20A6000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B4E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x9D278000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9B71C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x9C5B9000 \SystemRoot\System32\drivers\Dxapi.sys
0x9D395000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0x9B980000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x9B708000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9C040000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9B6CB000 \SystemRoot\system32\drivers\wdmaud.sys
0xF604A000 \SystemRoot\system32\drivers\sysaudio.sys
0x9B508000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x9B3E8000 \SystemRoot\system32\DRIVERS\srv.sys
0x9AF0D000 \SystemRoot\system32\drivers\kmixer.sys
0xF7AC8000 \SystemRoot\system32\drivers\splitter.sys
0x9AD8C000 \SystemRoot\System32\Drivers\HTTP.sys
0x9C7A5000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x9B5A9000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9A8C6000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x9A8AE000 \??\C:\DOKUME~1\Kirsten\LOKALE~1\Temp\fftorfow.sys
0x9D3A5000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9A894000 \SystemRoot\system32\DRIVERS\cmnsusbser.sys
0xA26D9000 \SystemRoot\System32\Drivers\Modem.SYS
0xA26A9000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
768 C:\WINDOWS\system32\smss.exe
816 csrss.exe
840 C:\WINDOWS\system32\winlogon.exe
884 C:\WINDOWS\system32\services.exe
896 C:\WINDOWS\system32\lsass.exe
1068 C:\WINDOWS\system32\svchost.exe
1148 svchost.exe
1188 C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe
1200 C:\WINDOWS\system32\svchost.exe
1384 svchost.exe
1452 svchost.exe
1684 C:\WINDOWS\system32\spoolsv.exe
1728 C:\Programme\IDT\WDM\stacsv.exe
488 C:\WINDOWS\explorer.exe
584 C:\Programme\Avira\AntiVir Desktop\sched.exe
2032 svchost.exe
280 C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
308 C:\Programme\Avira\AntiVir Desktop\avguard.exe
384 C:\Programme\Java\jre6\bin\jqs.exe
688 C:\WINDOWS\system32\svchost.exe
1012 C:\Programme\XSManager\WTGService.exe
1084 C:\WINDOWS\system32\igfxtray.exe
1360 C:\WINDOWS\system32\hkcmd.exe
1372 C:\WINDOWS\system32\igfxpers.exe
1408 C:\Programme\HP\HPBTWD.exe
1424 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1440 C:\Programme\IDT\WDM\sttray.exe
1496 C:\WINDOWS\system32\AESTFltr.exe
1540 C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
1548 C:\WINDOWS\system32\igfxsrvc.exe
1724 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1752 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2056 C:\Programme\Skype\Phone\Skype.exe
2092 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
2144 C:\WINDOWS\system32\ctfmon.exe
2268 C:\Programme\OpenOffice.org 3\program\soffice.exe
2356 C:\Programme\OpenOffice.org 3\program\soffice.bin
3048 C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
3296 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3324 wmiprvse.exe
3372 alg.exe
3508 C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
3596 C:\WINDOWS\system32\wuauclt.exe
3888 C:\Programme\XSManager\XSManager.exe
3652 C:\Programme\Mozilla Firefox\firefox.exe
3292 C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
3492 C:\Programme\Mozilla Firefox\plugin-container.exe
752 C:\Dokumente und Einstellungen\Kirsten\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-60ZCT1, Rev: 13.01A13

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!


Viele Grüße,
kiki

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,

Danke!! Wäre so froh, wenn mein Rechner wieder in Ordnung kommt- und ich keine Panik mehr vor Trojanern etc. haben muss!

Hier kommt zunächst das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5098

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.11.2010 12:57:40
mbam-log-2010-11-12 (12-57-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 223095
Laufzeit: 1 Stunde(n), 23 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Das Log von SUPERAntiSpyware schicke ich später.

Viele Grüße,
kiki

Hi Arne,

dies ist das Log con SASW:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/12/2010 at 03:45 PM

Application Version : 4.45.1000

Core Rules Database Version : 5850
Trace Rules Database Version: 3662

Scan type : Complete Scan
Total Scan Time : 01:33:35

Memory items scanned : 644
Memory threats detected : 0
Registry items scanned : 6437
Registry threats detected : 0
File items scanned : 85811
File threats detected : 7

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@perf.overture[1].txt
C:\Dokumente und Einstellungen\Kirsten\Cookies\kirsten@2o7[2].txt
adserv.quality-channel.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
cdn5.specificclick.net [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
imagesrv.adition.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
serving-sys.com [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]
www.ardmediathek.de [ C:\System Rollback Data\Restore\Archive\00000035\00000034\0\Target\Dokumente und Einstellungen\Kirsten\ANWENDUNGSDATEN\Macromedia\Flash Player\#SharedObjects\3CPK9TXV ]

Viele Grüße,
kiki

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

Malwarebytes und Antivir haben keine Viren o.ä. mehr gefunden! Tausend Dank für Deine Hilfe!!!
Nur mein Rechner fährt immer noch langsam hoch, dabei wird der Bildschirm kurz schwarz und die Taskleiste erscheint dann ein zweites Mal. Ist dennoch alles okay? Oder kann das auch auf ein Virus hindeuten?

Schöne Grüße,
kiki

Wie kann denn die Taskleiste ein 2. Mal erscheinen? Meinst du was anderes mit Taskleiste als das was ich meine? Beschreib mal genauer.
Und natürlich könnte irgendwo immer noch was Bösartiges stecken auch wenn alle Logs nun ok sind. Das ist das Restrisiko einer jeden Bereinigung.

Hi Arne,

ich meine die Startleiste, die am Bildschirmrand unten erscheint und Startmenü sowie Batterieanzeige etc. enhält.

Gut, dann ich versuch nochmal die Probleme beim Hochfahren des Computers zu beschreiben:

Bevor AntiVir den Trojaner meldete fuhr der Computer schneller hoch und die Taskleiste erschien ohne Verzögerung.
Jetzt sieht anfangs auch alles normal aus, d.h. alle Dokumente auf dem Desktop und auch die Startleiste sind bereits auf dem Bildschirm zu sehen. Doch kurze Zeit später wird der Hintergrund für kurze Zeit komplett schwarz und anschließend wird die Startleiste quasi erneut, aber sehr langsam aufgebaut.

Viele Grüße,
kiki