Google-Links führen zu Werbeseiten

ABM12 · 07.12.2010, 19:00

[code]
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-06.04 - Admin 07.12.2010  18:49:43.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1570 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-07 bis 2010-12-07  ))))))))))))))))))))))))))))))
.

2010-12-01 21:33 . 2010-12-01 21:33	--------	d-----w-	C:\_OTL
2010-11-14 12:18 . 2010-11-14 12:18	--------	d-----r-	C:\MSOCache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 11:43 . 2010-10-22 11:43	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-10-22 11:43 . 2010-10-22 11:43	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-09-18 11:22 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
.

------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((((   SnapShot@2010-11-15_20.20.32   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-07 17:48 . 2010-12-07 17:48	16384              c:\windows\temp\Perflib_Perfdata_204.dat
+ 2010-11-11 22:38 . 2009-05-12 14:12	26144              c:\windows\system32\spupdsvc.exe
- 2010-11-11 22:38 . 2009-01-07 17:20	26144              c:\windows\system32\spupdsvc.exe
+ 2010-11-12 19:28 . 2009-05-12 14:12	16928              c:\windows\system32\spmsg.dll
+ 2010-11-19 17:22 . 2010-04-19 19:47	41984              c:\windows\system32\ReinstallBackups\0007\DriverFiles\usbaapl.sys
+ 2010-11-22 15:40 . 2010-11-22 15:40	89088              c:\windows\system32\mbr.exe
+ 2010-11-19 17:22 . 2010-09-28 14:44	41984              c:\windows\system32\DRVSTORE\usbaapl_DECA0B114863448FE4957E5F5676B09528A18C9F\usbaapl.sys
+ 2010-11-19 17:22 . 2010-04-19 19:29	18432              c:\windows\system32\DRVSTORE\netaapl_A0C073C4137716F9478B8B08B2873A7AB3AECF72\netaapl.sys
+ 2010-11-12 18:12 . 2010-09-28 14:44	41984              c:\windows\system32\drivers\usbaapl.sys
- 2010-11-12 18:12 . 2010-04-19 19:47	41984              c:\windows\system32\drivers\usbaapl.sys
- 2010-11-15 11:45 . 2010-04-29 11:19	38224              c:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-12-06 12:08 . 2010-11-29 16:42	38224              c:\windows\system32\drivers\mbamswissarmy.sys
- 2010-11-15 11:45 . 2010-04-29 11:19	20952              c:\windows\system32\drivers\mbam.sys
+ 2010-12-06 12:08 . 2010-11-29 16:42	20952              c:\windows\system32\drivers\mbam.sys
+ 2010-11-12 16:55 . 2010-11-22 21:11	61960              c:\windows\system32\drivers\avgntflt.sys
+ 2001-07-14 16:32 . 2001-07-14 16:32	69632              c:\windows\setupupd\temp\wsdueng.dll
+ 2010-11-14 12:30 . 2010-11-15 20:36	35088              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\oisicon.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	35088              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\oisicon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	18704              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	18704              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	20240              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	20240              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36	35088              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\oisicon.exe
- 2010-11-14 12:22 . 2010-11-15 13:03	35088              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\oisicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36	18704              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:22 . 2010-11-15 13:03	18704              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\mspicons.exe
- 2010-11-14 12:22 . 2010-11-15 13:03	20240              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36	20240              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\cagicon.exe
+ 2008-10-25 07:18 . 2008-10-25 07:18	72568              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONFILTER.DLL
+ 2008-10-25 07:18 . 2008-10-25 07:18	98696              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONENOTEM.EXE
+ 2006-10-26 21:58 . 2006-10-26 21:58	33080              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.4518\VPREVIEW.EXE
+ 2009-03-04 16:24 . 2009-03-04 16:24	54088              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\SCANOST.EXE
+ 2009-03-04 16:24 . 2009-03-04 16:24	75608              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\RM.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	38240              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\RECALL.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	52072              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLVBA.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	34192              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\DUMPSTER.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	87392              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\DLGSETP.DLL
+ 2008-05-26 21:18 . 2009-05-24 23:24	350208              c:\windows\system32\mssph.dll
- 2008-05-26 21:18 . 2008-05-26 21:18	350208              c:\windows\system32\mssph.dll
+ 2010-11-16 16:51 . 2010-11-16 16:51	153376              c:\windows\system32\javaws.exe
+ 2010-11-16 16:51 . 2010-11-16 16:51	145184              c:\windows\system32\javaw.exe
+ 2010-11-16 16:51 . 2010-11-16 16:51	145184              c:\windows\system32\java.exe
+ 2010-11-16 16:51 . 2010-11-16 16:51	472808              c:\windows\system32\deployJava1.dll
+ 2010-11-16 16:51 . 2010-11-16 16:51	180224              c:\windows\Installer\f34cb.msi
+ 2010-11-16 16:51 . 2010-11-16 16:51	676352              c:\windows\Installer\f34c6.msi
+ 2010-11-19 17:20 . 2010-11-19 17:20	811008              c:\windows\Installer\4b78ae.msi
+ 2010-08-04 14:13 . 2010-08-04 14:13	686080              c:\windows\Installer\100241.msp
+ 2009-05-26 17:53 . 2009-05-26 17:53	579072              c:\windows\Installer\10018b.msp
+ 2010-11-19 17:28 . 2010-11-19 17:28	380928              c:\windows\Installer\{FAE36873-1941-4076-A9A5-48812B5EA0B7}\iTunesIco.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	888080              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\wordicon.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	888080              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\wordicon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	922384              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\pptico.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	922384              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\pptico.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	217864              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\misc.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	217864              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\misc.exe
- 2010-11-14 12:30 . 2010-11-15 13:01	184080              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\joticon.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	184080              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\joticon.exe
- 2010-11-14 12:22 . 2010-11-15 13:03	845584              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\outicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36	845584              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\outicon.exe
+ 2010-11-14 12:22 . 2010-11-15 20:36	217864              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\misc.exe
- 2010-11-14 12:22 . 2010-11-15 13:03	217864              c:\windows\Installer\{91120000-001A-0000-0000-0000000FF1CE}\misc.exe
+ 2009-04-03 17:11 . 2009-04-03 17:11	408424              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\WINWORD.EXE
+ 2010-11-15 13:01 . 2010-11-15 13:01	350064              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\PPTPIA.DLL
+ 2009-04-03 17:04 . 2009-04-03 17:04	521064              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\POWERPNT.EXE
+ 2008-10-25 06:52 . 2008-10-25 06:52	664968              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONBTTNOL.DLL
+ 2008-10-25 06:52 . 2008-10-25 06:52	604056              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONBTTNIE.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	282032              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\SCNPST64.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	273320              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\SCNPST32.DLL
+ 2009-03-06 01:06 . 2009-03-06 01:06	407904              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\RTFHTML.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	420696              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\PSTPRX32.DLL
+ 2008-11-20 23:49 . 2008-11-20 23:49	169360              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLPH.DLL
+ 2009-03-06 01:05 . 2009-03-06 01:05	593288              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLMIME.DLL
+ 2008-10-30 20:24 . 2008-10-30 20:24	137552              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLCTL.DLL
+ 2009-03-06 03:55 . 2009-03-06 03:55	194448              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OMSXP32.DLL
+ 2009-03-06 03:55 . 2009-03-06 03:55	661888              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OMSMAIN.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	253808              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OLKFSTUB.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	340304              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\MIMEDIR.DLL
+ 2009-03-04 16:24 . 2009-03-04 16:24	138072              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\IMPMAIL.DLL
+ 2008-11-20 23:48 . 2008-11-20 23:48	116600              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\EMABLT32.DLL
+ 2009-03-06 01:05 . 2009-03-06 01:05	127336              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\CONTAB32.DLL
+ 2009-08-04 13:06 . 2009-08-04 13:06	132352              c:\windows\Downloaded Program Files\as2stubie.dll
- 2010-11-15 13:01 . 2010-11-15 13:01	350064              c:\windows\assembly\GAC\Microsoft.Office.Interop.PowerPoint\12.0.0.0__71e9bce111e9429c\Microsoft.Office.Interop.PowerPoint.dll
+ 2010-11-15 20:30 . 2010-11-15 20:30	350064              c:\windows\assembly\GAC\Microsoft.Office.Interop.PowerPoint\12.0.0.0__71e9bce111e9429c\Microsoft.Office.Interop.PowerPoint.dll
+ 2010-11-12 18:12 . 2010-09-28 14:44	4184352              c:\windows\system32\usbaaplrc.dll
+ 2010-11-19 17:22 . 2010-04-19 19:47	3062048              c:\windows\system32\ReinstallBackups\0007\DriverFiles\usbaaplrc.dll
+ 2009-08-17 22:33 . 2009-08-17 22:33	1193832              c:\windows\system32\FM20.DLL
+ 2010-11-19 17:22 . 2010-09-28 14:44	4184352              c:\windows\system32\DRVSTORE\usbaapl_DECA0B114863448FE4957E5F5676B09528A18C9F\usbaaplrc.dll
+ 2010-11-19 17:22 . 2010-04-19 19:29	1461992              c:\windows\system32\DRVSTORE\netaapl_A0C073C4137716F9478B8B08B2873A7AB3AECF72\wdfcoinstaller01009.dll
+ 2010-11-19 17:28 . 2010-11-19 17:28	6237184              c:\windows\Installer\4b819f.msi
+ 2010-11-19 17:22 . 2010-11-19 17:22	3085312              c:\windows\Installer\4b78fb.msi
+ 2010-09-17 05:04 . 2010-09-17 05:04	9401856              c:\windows\Installer\1002a6.msp
+ 2010-02-21 00:03 . 2010-02-21 00:03	4472832              c:\windows\Installer\100295.msp
+ 2010-08-13 17:01 . 2010-08-13 17:01	8993280              c:\windows\Installer\10027e.msp
+ 2010-08-13 16:59 . 2010-08-13 16:59	8182272              c:\windows\Installer\10026d.msp
+ 2010-08-13 17:02 . 2010-08-13 17:02	2545664              c:\windows\Installer\10025c.msp
+ 2010-10-07 17:43 . 2010-10-07 17:43	1980416              c:\windows\Installer\100230.msp
+ 2010-08-13 17:00 . 2010-08-13 17:00	9404928              c:\windows\Installer\100215.msp
+ 2009-08-05 06:49 . 2009-08-05 06:49	3457024              c:\windows\Installer\100202.msp
+ 2010-03-24 17:54 . 2010-03-24 17:54	2516992              c:\windows\Installer\1001ef.msp
+ 2009-07-27 03:31 . 2009-07-27 03:31	3738624              c:\windows\Installer\1001d4.msp
+ 2010-04-24 16:07 . 2010-04-24 16:07	4667392              c:\windows\Installer\1001c3.msp
+ 2009-10-16 06:08 . 2009-10-16 06:08	2237952              c:\windows\Installer\1001a6.msp
+ 2009-08-18 12:08 . 2009-08-18 12:08	1373696              c:\windows\Installer\100171.msp
- 2010-11-14 12:30 . 2010-11-15 13:01	1172240              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\xlicons.exe
+ 2010-11-14 12:30 . 2010-11-15 20:36	1172240              c:\windows\Installer\{91120000-002F-0000-0000-0000000FF1CE}\xlicons.exe
+ 2009-04-03 16:57 . 2009-04-03 16:57	4671320              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\WRD12CNV.DLL
+ 2008-11-21 02:12 . 2008-11-21 02:12	3750256              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\VVIEWER.DLL
+ 2008-10-25 08:35 . 2008-10-25 08:35	1847160              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\VVIEWDWG.DLL
+ 2008-08-25 21:50 . 2008-08-25 21:50	2585592              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\VBE6.DLL
+ 2008-11-10 01:41 . 2008-11-10 01:41	2014584              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\PPTVIEW.EXE
+ 2009-04-03 17:04 . 2009-04-03 17:04	8468840              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\PPCORE.DLL
+ 2009-03-06 03:00 . 2009-03-06 03:00	6596472              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONMAIN.DLL
+ 2008-11-10 09:49 . 2008-11-10 09:49	1165680              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONLIBS.DLL
+ 2008-11-24 21:16 . 2008-11-24 21:16	1020776              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\ONENOTE.EXE
+ 2009-02-05 10:36 . 2009-02-05 10:36	1640800              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\OGL.DLL
+ 2009-03-06 03:26 . 2009-03-06 03:26	5291376              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\IPEDITOR.DLL
+ 2008-11-20 22:06 . 2008-11-20 22:06	1194848              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\FM20.DLL
+ 2009-03-06 01:05 . 2009-03-06 01:05	2964336              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OLMAPI32.DLL
+ 2010-07-23 00:04 . 2010-07-23 00:04	11395072              c:\windows\Installer\100160.msp
+ 2009-04-03 17:01 . 2009-04-03 17:01	15108448              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\XL12CNV.EXE
+ 2009-04-03 17:11 . 2009-04-03 17:11	17740136              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\WWLIB.DLL
+ 2009-04-03 17:46 . 2009-04-03 17:46	17314688              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\MSO.DLL
+ 2009-04-03 17:11 . 2009-04-03 17:11	18330984              c:\windows\Installer\$PatchCache$\Managed\00002119F20000000000000000F01FEC\12.0.6425\EXCEL.EXE
+ 2009-03-06 01:06 . 2009-03-06 01:06	12707696              c:\windows\Installer\$PatchCache$\Managed\00002119A10000000000000000F01FEC\12.0.6425\OUTLOOK.EXE
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners

2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-07 18:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SPIRun = Rundll32 SPIRun.dll,RunDLLEntry? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-07  18:58:16
ComboFix-quarantined-files.txt  2010-12-07 17:58
ComboFix2.txt  2010-11-15 21:26
ComboFix3.txt  2010-11-15 20:22

Vor Suchlauf: 8 Verzeichnis(se), 202.445.713.408 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 202.465.796.096 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - A7C0B310A08FE4DDBFBCB22C21148453

--- --- ---

Swisstreasure · 07.12.2010, 21:23

Schritt 1

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
Code:
ATTFilter
```
SRPeek::
c:\windows\system32\mspmsnsv.dll
         
```
Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schritt 2

Wende bitte das http://www.trojaner-board.de/83866-a...ue-system.html an und berichte.

ABM12 · 07.12.2010, 22:15

[code]
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-06.04 - Admin 07.12.2010  22:01:52.4.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1573 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-07 bis 2010-12-07  ))))))))))))))))))))))))))))))
.

2010-12-01 21:33 . 2010-12-01 21:33	--------	d-----w-	C:\_OTL
2010-11-14 12:18 . 2010-11-14 12:18	--------	d-----r-	C:\MSOCache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 11:43 . 2010-10-22 11:43	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-10-22 11:43 . 2010-10-22 11:43	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-09-18 11:22 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
.

((((((((((((((((((((((((((((((((((((((((((   SR_Search   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))

[-] 5FDCCC838CD95F61097D8A637F842AA8	25600	c:\windows\system32\mspmsnsv.dll
[-] 5FDCCC838CD95F61097D8A637F842AA8	25600	\RP46\A0013428.dll
.
------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((((   SnapShot_2010-12-07_17.56.16   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-07 20:59 . 2010-12-07 20:59	16384              c:\windows\temp\Perflib_Perfdata_114.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners

2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-07 22:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SPIRun = Rundll32 SPIRun.dll,RunDLLEntry? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-07  22:12:34
ComboFix-quarantined-files.txt  2010-12-07 21:12
ComboFix2.txt  2010-12-07 17:58
ComboFix3.txt  2010-11-15 21:26
ComboFix4.txt  2010-11-15 20:22

Vor Suchlauf: 9 Verzeichnis(se), 202.431.479.808 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 202.422.947.840 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - FB80F7D2161DFC95D9098E6B7002AA79

--- --- ---

ABM12 · 07.12.2010, 22:20

Der Download-Link des Rescue Systems führt nur zur Avira Seite, auf der steht, dass das Rescue Systems nur im kostenpflichtigen Premium Paket inbegriffen ist.

Swisstreasure · 08.12.2010, 13:42

Hier hast Du einen Link:
Avira AntiVir Rescue System - Download

ABM12 · 08.12.2010, 19:47

Code:

ATTFilter

Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set:         8.2.4.122
VDF Version:        7.10.14.225
Scan start time: Wed Dec  8 20:09:33 2010
configuration file: /etc/avira/scancl.conf
ALERT: [Java/Agent.2212] /media/Devices/sda1/Dokumente und Einstellungen/******/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/38/595f3626-2be5e439 --> bpac/a.class <<< Contains signature of the Java virus JAVA/Agent.2212


ALERT: [Java/Agent.2212] /media/Devices/sda1/Dokumente und Einstellungen/******/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/59/31741c3b-147e31e6 --> bpac/a.class <<< Contains signature of the Java virus JAVA/Agent.2212


WARNING: [Archive is invalid or corrupt] /media/Devices/sda1/Programme/WinRAR/rarnew.dat


WARNING: [Error opening file. (Input/output error)] /media/Devices/sda1/WINDOWS/system32/dllcache/kdcom.dll

Swisstreasure · 09.12.2010, 19:15

Schritt 1

Hosts reparieren

Lade Dir bitte HostsXpert herunter.
Entpacke die Zipdatei und starte das Tool.
Klicke nun auf Restore MS Hosts File--> Ok--> Exit Programm.
Solltest Du kein Zip-Programm haben kannst Du Dir die Testversion von Winzip herunterladen.

Schritt 2

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
Code:
ATTFilter
```
reglock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
         
```
Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schritt 3

Wirst Du dauernd weiter geleitet oder nur zufällig ab und zu?

ABM12 · 09.12.2010, 20:55

Also das Weiterleiten erscheint mir eher zufällig. So ungefähr jeder zweite bis dritte Link führt auf eine nichterwünschte Seite. Dazu noch ab und zu ein Pop-up.

[code]
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-08.04 - Admin 09.12.2010  20:36:37.5.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1575 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-09 bis 2010-12-09  ))))))))))))))))))))))))))))))
.

2010-12-01 21:33 . 2010-12-01 21:33	--------	d-----w-	C:\_OTL
2010-11-14 12:18 . 2010-11-14 12:18	--------	d-----r-	C:\MSOCache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 11:43 . 2010-10-22 11:43	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-10-22 11:43 . 2010-10-22 11:43	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-09-18 11:22 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
.

------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((((   SnapShot_2010-12-07_17.56.16   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-09 19:35 . 2010-12-09 19:35	16384              c:\windows\temp\Perflib_Perfdata_57c.dat
+ 2010-11-12 16:55 . 2010-12-09 18:46	135096              c:\windows\system32\drivers\avipbb.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners

2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-09 20:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SPIRun = Rundll32 SPIRun.dll,RunDLLEntry? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-09  20:48:08
ComboFix-quarantined-files.txt  2010-12-09 19:48
ComboFix2.txt  2010-12-07 21:12
ComboFix3.txt  2010-12-07 17:58
ComboFix4.txt  2010-11-15 21:26
ComboFix5.txt  2010-12-09 19:19

Vor Suchlauf: 9 Verzeichnis(se), 202.052.333.568 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 202.892.312.576 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 564939D826B842AA4C7D389083507323

--- --- ---

Swisstreasure · 09.12.2010, 21:25

Wir packen das noch

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Dann schaue einmal ob Du so auch umgeleitet wirst.

ABM12 · 10.12.2010, 16:50

Schön, dass du noch Hoffnung hast. Aber auch im Abgesicherten Modus verhält sich das System genauso (gleich die ersten beiden Links, die ich geöffnet habe, wurden umgeleitet).

Swisstreasure · 11.12.2010, 15:09

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code:

ATTFilter

c:\windows\system32\wininet.dll
c:\windows\system32\drivers\t3.sys
c:\windows\system32\drivers\t3filt.sys

Also gehe wie hier beschrieben vor:

Öffne diese Webseite: virustotal
Klicke auf "Durchsuchen"
Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
"Senden der Datei"
Warte, bis der Scandurchlauf aller Virenscanner beendet ist
Auf "Filter" klicken
dann auf "Ergebnisse"
das Ergebnis (wie Du es bekommst )
komplett markieren und hier rein kopieren

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

ABM12 · 13.12.2010, 12:41

Code:

ATTFilter

File name: wininet.dll
Submission date: 2010-12-13 11:40:19 (UTC)
Current status: queued queued analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.13.01 2010.12.12 - 
AntiVir 7.10.15.2 2010.12.13 - 
Antiy-AVL 2.0.3.7 2010.12.13 - 
Avast 4.8.1351.0 2010.12.13 - 
Avast5 5.0.677.0 2010.12.13 - 
AVG 9.0.0.851 2010.12.13 - 
BitDefender 7.2 2010.12.13 - 
CAT-QuickHeal 11.00 2010.12.13 - 
ClamAV 0.96.4.0 2010.12.13 - 
Command 5.2.11.5 2010.12.13 - 
Comodo 7045 2010.12.13 - 
DrWeb 5.0.2.03300 2010.12.13 - 
Emsisoft 5.1.0.1 2010.12.13 - 
eSafe 7.0.17.0 2010.12.09 - 
eTrust-Vet 36.1.8037 2010.12.13 - 
F-Prot 4.6.2.117 2010.12.13 - 
F-Secure 9.0.16160.0 2010.12.13 - 
Fortinet 4.2.254.0 2010.12.13 - 
GData 21 2010.12.13 - 
Ikarus T3.1.1.90.0 2010.12.13 - 
Jiangmin 13.0.900 2010.12.13 - 
K7AntiVirus 9.72.3219 2010.12.11 - 
Kaspersky 7.0.0.125 2010.12.13 - 
McAfee 5.400.0.1158 2010.12.13 - 
McAfee-GW-Edition 2010.1C 2010.12.13 - 
Microsoft 1.6402 2010.12.13 - 
NOD32 5698 2010.12.13 - 
Norman 6.06.12 2010.12.13 - 
nProtect 2010-12-13.01 2010.12.13 - 
Panda 10.0.2.7 2010.12.12 - 
PCTools 7.0.3.5 2010.12.13 - 
Prevx 3.0 2010.12.13 - 
Rising 22.77.06.03 2010.12.13 - 
Sophos 4.60.0 2010.12.13 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.12 - 
Symantec 20101.3.0.103 2010.12.13 - 
TheHacker 6.7.0.1.099 2010.12.13 - 
TrendMicro 9.120.0.1004 2010.12.13 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.13 - 
VBA32 3.12.14.2 2010.12.13 - 
VIPRE 7630 2010.12.13 - 
ViRobot 2010.12.13.4198 2010.12.13 - 
VirusBuster 13.6.90.0 2010.12.13 - 
Additional informationShow all  
MD5   : 41e62e6aa4d4c03322467fb0d2d29967 
SHA1  : 908c7b34d3f10bdcd4d3183e1a906e9f32ba8e64 
SHA256: e337b2b10a3e152e139c851c46103c336a3c8f263c951d2ebd422d748768ac4d

ABM12 · 13.12.2010, 12:50

Code:

ATTFilter

File name: t3.sys
Submission date: 2010-12-13 11:51:08 (UTC)
Current status: queued (#6) queued (#6) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.13.01 2010.12.12 - 
AntiVir 7.10.15.2 2010.12.13 - 
Antiy-AVL 2.0.3.7 2010.12.13 - 
Avast 4.8.1351.0 2010.12.13 - 
Avast5 5.0.677.0 2010.12.13 - 
AVG 9.0.0.851 2010.12.13 - 
BitDefender 7.2 2010.12.13 - 
CAT-QuickHeal 11.00 2010.12.13 - 
ClamAV 0.96.4.0 2010.12.13 - 
Command 5.2.11.5 2010.12.13 - 
Comodo 7045 2010.12.13 - 
DrWeb 5.0.2.03300 2010.12.13 - 
Emsisoft 5.1.0.1 2010.12.13 - 
eSafe 7.0.17.0 2010.12.09 - 
eTrust-Vet 36.1.8037 2010.12.13 - 
F-Prot 4.6.2.117 2010.12.13 - 
F-Secure 9.0.16160.0 2010.12.13 - 
Fortinet 4.2.254.0 2010.12.13 - 
GData 21 2010.12.13 - 
Ikarus T3.1.1.90.0 2010.12.13 - 
Jiangmin 13.0.900 2010.12.13 - 
K7AntiVirus 9.72.3219 2010.12.11 - 
Kaspersky 7.0.0.125 2010.12.13 - 
McAfee 5.400.0.1158 2010.12.13 - 
McAfee-GW-Edition 2010.1C 2010.12.13 - 
Microsoft 1.6402 2010.12.13 - 
NOD32 5698 2010.12.13 - 
Norman 6.06.12 2010.12.13 - 
nProtect 2010-12-13.01 2010.12.13 - 
Panda 10.0.2.7 2010.12.12 - 
PCTools 7.0.3.5 2010.12.13 - 
Prevx 3.0 2010.12.13 - 
Rising 22.77.06.03 2010.12.13 - 
Sophos 4.60.0 2010.12.13 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.12 - 
Symantec 20101.3.0.103 2010.12.13 - 
TheHacker 6.7.0.1.099 2010.12.13 - 
TrendMicro 9.120.0.1004 2010.12.13 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.13 - 
VBA32 3.12.14.2 2010.12.13 - 
VIPRE 7630 2010.12.13 - 
ViRobot 2010.12.13.4198 2010.12.13 - 
VirusBuster 13.6.90.0 2010.12.13 - 
Additional informationShow all  
MD5   : 3cc59343b63e210df8bc589442719c5e 
SHA1  : 16c7e7056af0af8fc10b1d4aa79fff511848e52f 
SHA256: c62cc16b425ead4dce915bc727cf5a61c1f04e840b7245796527674367e2fd97

ABM12 · 13.12.2010, 12:57

hat ebenfalls nichts ergeben:

Code:

ATTFilter

File name: t3filt.sys
Submission date: 2010-12-13 11:52:35 (UTC)
Current status: queued (#2) queued (#2) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.13.01 2010.12.12 - 
AntiVir 7.10.15.2 2010.12.13 - 
Antiy-AVL 2.0.3.7 2010.12.13 - 
Avast 4.8.1351.0 2010.12.13 - 
Avast5 5.0.677.0 2010.12.13 - 
AVG 9.0.0.851 2010.12.13 - 
BitDefender 7.2 2010.12.13 - 
CAT-QuickHeal 11.00 2010.12.13 - 
ClamAV 0.96.4.0 2010.12.13 - 
Command 5.2.11.5 2010.12.13 - 
Comodo 7045 2010.12.13 - 
DrWeb 5.0.2.03300 2010.12.13 - 
Emsisoft 5.1.0.1 2010.12.13 - 
eSafe 7.0.17.0 2010.12.09 - 
eTrust-Vet 36.1.8037 2010.12.13 - 
F-Prot 4.6.2.117 2010.12.13 - 
F-Secure 9.0.16160.0 2010.12.13 - 
Fortinet 4.2.254.0 2010.12.13 - 
GData 21 2010.12.13 - 
Ikarus T3.1.1.90.0 2010.12.13 - 
Jiangmin 13.0.900 2010.12.13 - 
K7AntiVirus 9.72.3219 2010.12.11 - 
Kaspersky 7.0.0.125 2010.12.13 - 
McAfee 5.400.0.1158 2010.12.13 - 
McAfee-GW-Edition 2010.1C 2010.12.13 - 
Microsoft 1.6402 2010.12.13 - 
NOD32 5698 2010.12.13 - 
Norman 6.06.12 2010.12.13 - 
nProtect 2010-12-13.01 2010.12.13 - 
Panda 10.0.2.7 2010.12.12 - 
PCTools 7.0.3.5 2010.12.13 - 
Prevx 3.0 2010.12.13 - 
Rising 22.77.06.03 2010.12.13 - 
Sophos 4.60.0 2010.12.13 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.12 - 
Symantec 20101.3.0.103 2010.12.13 - 
TheHacker 6.7.0.1.099 2010.12.13 - 
TrendMicro 9.120.0.1004 2010.12.13 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.13 - 
VBA32 3.12.14.2 2010.12.13 - 
VIPRE 7630 2010.12.13 - 
ViRobot 2010.12.13.4198 2010.12.13 - 
VirusBuster 13.6.90.0 2010.12.13 - 
Additional informationShow all  
MD5   : d0591e1226c3ca2c982060df5bde3200 
SHA1  : f21cd1f2c02a5f49bb6fead45dbfd4b0434813fa 
SHA256: dc8af8ab718c7c74cfec563bc92a6765839f18456a2d119b3f833b5d8a50d5ba

Swisstreasure · 13.12.2010, 13:02

Also wir gehen zurück zu Deinem Router. Ich gehe davon aus, dass dort das Problem liegt.

Lass einmal die IP vom PC automatisch ermittelt.
Zudem schaue nach, welchen DNS-Server im Routr eingetragen ist.

Welchen Router hast Du?

08.12.2010, 13:42	#95
Swisstreasure /// Malwareteam	Google-Links führen zu Werbeseiten Hier hast Du einen Link: Avira AntiVir Rescue System - Download

09.12.2010, 21:25	#99
Swisstreasure /// Malwareteam	Google-Links führen zu Werbeseiten Wir packen das noch Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Dann schaue einmal ob Du so auch umgeleitet wirst.

13.12.2010, 13:02	#105
Swisstreasure /// Malwareteam	Google-Links führen zu Werbeseiten Also wir gehen zurück zu Deinem Router. Ich gehe davon aus, dass dort das Problem liegt. Lass einmal die IP vom PC automatisch ermittelt. Zudem schaue nach, welchen DNS-Server im Routr eingetragen ist. Welchen Router hast Du?

Google-Links führen zu Werbeseiten

Log-Analyse und Auswertung: Google-Links führen zu Werbeseiten