Hallo zusammen,

wie schon eingangs beschrieben, fährt mein PC nach dem Anmelden, erst einmal wieder runter. Folgende Gegenmaßnahmen habe ich schon ergriffen:
- CC Cleaner
- aktueller AntiVir
- Malewarebytes
- Spybot

Alle Programme bringen nach dem Suchlauf: "nichts gefunden"

Vielen Dank für Eure Hilfe
Grüße
MBrait

Anbei der Logfile:

HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4[/I]
Scan saved at 09:17:09, on 01.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://vshare.toolbarhome.com/?hp=df
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON SX210 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\WINDOWS\TEMP\E_S65.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Reguser] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Regmod\depreg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Programme\vShare\vshare_toolbar.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
 
--
End of file - 7527 bytes
         

--- --- ---

Leider ist mein Problem immer noch nicht behoben. Kann den niemand helfen?

Schöne Grüße
MBrait

Zitat:

- Malewarebytes

Bitte alle Logs davon posten, auch wenn keien Funde dabei waren.

Danke für Deine Hilfe! Anbei die LOG´s

Anhang 11333

Anhang 11334

Anhang 11335

Anhang 11336

Grüße
MBrait

Du hast ständig nur mit dem gleichen Signaturstand gescannt, das kann nicht viel bringen.
Aktualisier mal auf MBAM Version 1.50, danach manuell die Signaturen und mach noch einen Vollscan.

Ein LOG mit dem Upgrade ist angehängt. Was meinst Du mit Signaturen?

Signaturen sind die Datenbanken. Die Aktualität dieser ist für einen Virenscanner entscheidend, denn mit alten Datenbanken ist ein Virenscanner quasi wirkungslos (neuere Schädling werden nicht gefunden)

Danke für die Info. Anbei ein aktueller LOG. Immer noch kein Fund. Kannst Du etwas erkennen?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Anbei die OTL-Files.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [Reguser] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Regmod\depreg.exe ()
O33 - MountPoints2\{203c229a-2937-11df-a370-000d60acc2bb}\Shell - "" = AutoRun
O33 - MountPoints2\{203c229a-2937-11df-a370-000d60acc2bb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{203c229a-2937-11df-a370-000d60acc2bb}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{29c2f1de-d447-11df-a492-000d60acc2bb}\Shell\AutoRun\command - "" = E:\EmDesk.exe -- File not found
O33 - MountPoints2\{29c2f1de-d447-11df-a492-000d60acc2bb}\Shell\EmDesk\command - "" = E:\EmDesk.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hmmm, heruntergefahren ist er seit gestern nicht mehr, aber er braucht immer noch viel Zeit beim Hochfahren

Anbei die benötigte Datei.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe Deine Empfehlungen artig umgesetzt. Die wir einiges über das Internet machen, habe ich diesbezüglich noch die Frage, ob wir nun sämtliche Passwörter etc. ändern müssen?

Der LOG:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-12-04.02 - Admin 05.12.2010  17:24:02.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.285 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-05 bis 2010-12-05  ))))))))))))))))))))))))))))))
.

2010-12-05 14:58 . 2010-12-05 14:58	--------	d-----w-	C:\_OTL
2010-12-02 08:47 . 2010-12-02 08:47	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Uniblue
2010-12-02 08:46 . 2010-12-02 08:46	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\PackageAware
2010-11-30 12:30 . 2010-11-30 12:30	388096	----a-r-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-11-30 12:30 . 2010-11-30 12:30	--------	d-----w-	c:\programme\Trend Micro
2010-11-30 12:16 . 2010-11-30 12:16	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2010-11-30 12:15 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-30 12:15 . 2010-11-30 12:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-30 12:15 . 2010-12-03 20:39	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-30 12:15 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-30 11:57 . 2010-12-05 14:58	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Regmod
2010-11-29 19:18 . 2010-11-29 19:18	--------	d-----w-	c:\programme\iPod
2010-11-29 19:17 . 2010-11-29 19:19	--------	d-----w-	c:\programme\iTunes
2010-11-29 14:36 . 2010-11-30 11:57	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Msnet
2010-11-29 12:24 . 2008-04-14 03:22	21504	-c--a-w-	c:\windows\system32\dllcache\hidserv.dll
2010-11-29 12:24 . 2008-04-14 03:22	21504	----a-w-	c:\windows\system32\hidserv.dll
2010-11-29 12:24 . 2008-04-14 02:58	14720	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2010-11-29 12:24 . 2008-04-14 02:58	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2010-11-09 19:14 . 2010-11-09 19:14	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\GARMIN
2010-11-09 19:09 . 2010-11-09 19:27	--------	d-----w-	C:\Garmin

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:22 . 2004-08-04 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-04 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-04 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-04 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-08 09:17 . 2010-09-08 09:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2009-12-23 05:54 . 2009-12-23 06:00	32494896	----a-w-	c:\programme\QuickTimeInstaller.exe
2009-08-29 07:39 . 2009-08-29 07:44	714136	----a-w-	c:\programme\jre-6u14-windows-i586-iftw.exe
2009-08-23 08:45 . 2009-08-23 08:46	59954024	----a-w-	c:\programme\ElsterFormular2008-Setup.exe
2009-08-06 17:54 . 2009-08-23 08:46	3278552	----a-w-	c:\programme\ccsetup222.exe
2009-07-23 17:04 . 2009-07-23 17:41	318904	----a-w-	c:\programme\wmpfirefoxplugin.exe
2009-06-13 08:12 . 2009-06-13 08:14	1878888	----a-w-	c:\programme\install_flash_player.exe
2009-06-13 08:10 . 2009-06-13 08:11	1577984	----a-w-	c:\programme\FreePDFXP3.20.EXE
2009-05-05 09:13 . 2009-06-13 07:16	16409960	----a-w-	c:\programme\spybotsd162.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-09-21 47904]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2009-6-13 118784]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 08:42 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [03.06.2010 18:04 136176]
.
Inhalt des "geplante Tasks" Ordners

2010-11-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-03 17:04]

2010-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-03 17:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://vshare.toolbarhome.com/?hp=df
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\4kzkf2s1.default\
FF - plugin: c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\4kzkf2s1.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}\plugins\npGarmin.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\4kzkf2s1.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Extension: Garmin Communicator: {195A3098-0BD5-4e90-AE22-BA1C540AFD1E} - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\4kzkf2s1.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-05 17:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-12-05  17:34:48
ComboFix-quarantined-files.txt  2010-12-05 16:34

Vor Suchlauf: 9 Verzeichnis(se), 21.714.698.240 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 21.674.364.928 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30

- - End Of File - - F4353639F1270863C6C0C8AB9D81FA9E
         

--- --- ---

Zitat:

ob wir nun sämtliche Passwörter etc. ändern müssen?

Nur die Ruhe, ich berücksichtige alles, sowas kommt zum Schluss, poste ich noch. Passwörter sollte man dann ändern wenn wieder alles ok ist.


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OSAM wollte nicht so, wie ich es wollte!

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-05 19:34:43
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST340014A rev.8.10
Running: 00tiqf6i.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\kxldrpod.sys


---- System - GMER 1.0.15 ----

SSDT            F8C8E82E                                                             ZwCreateKey
SSDT            F8C8E824                                                             ZwCreateThread
SSDT            F8C8E833                                                             ZwDeleteKey
SSDT            F8C8E83D                                                             ZwDeleteValueKey
SSDT            F8C8E842                                                             ZwLoadKey
SSDT            F8C8E810                                                             ZwOpenProcess
SSDT            F8C8E815                                                             ZwOpenThread
SSDT            F8C8E84C                                                             ZwReplaceKey
SSDT            F8C8E847                                                             ZwRestoreKey
SSDT            F8C8E838                                                             ZwSetValueKey
SSDT            F8C8E81F                                                             ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!_abnormal_termination + F0                              804E275C 4 Bytes  CALL 17572029 
.text           ntoskrnl.exe!_abnormal_termination + 120                             804E278C 4 Bytes  CALL 668C2059 
.text           ntoskrnl.exe!_abnormal_termination + 148                             804E27B4 4 Bytes  CALL 26762081 
.text           ntoskrnl.exe!_abnormal_termination + 150                             804E27BC 4 Bytes  CALL 03F92089 
.text           ntoskrnl.exe!_abnormal_termination + 1D4                             804E2840 4 Bytes  CALL 6D07210D 
.text           ...                                                                  

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Mozilla Firefox\firefox.exe[2960] ntdll.dll!LdrLoadDll  7C9263C3 5 Bytes  JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                             fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

--- --- ---


MBR-LOG

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000000d

Kernel Drivers (total 122):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF8A42000 \WINDOWS\system32\KDCOM.DLL
  0xF8952000 \WINDOWS\system32\BOOTVID.dll
  0xF84F2000 ACPI.sys
  0xF8A44000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF84E1000 pci.sys
  0xF8542000 isapnp.sys
  0xF8B0A000 PCIIde.sys
  0xF87C2000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
  0xF8A46000 intelide.sys
  0xF8552000 MountMgr.sys
  0xF84C2000 ftdisk.sys
  0xF8A48000 dmload.sys
  0xF849C000 dmio.sys
  0xF87CA000 PartMgr.sys
  0xF8562000 VolSnap.sys
  0xF8484000 atapi.sys
  0xF8572000 disk.sys
  0xF8582000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF8464000 fltmgr.sys
  0xF8452000 sr.sys
  0xF843B000 KSecDD.sys
  0xF8428000 WudfPf.sys
  0xF839B000 Ntfs.sys
  0xF836E000 NDIS.sys
  0xF8354000 Mup.sys
  0xF86E2000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF7E48000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
  0xF7E34000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF885A000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF7E10000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF8862000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7DF1000 \SystemRoot\system32\DRIVERS\e1000325.sys
  0xF886A000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF86F2000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF89EA000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF7DDD000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF8702000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF8712000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF7DBA000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF8872000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF7D84000 \SystemRoot\system32\drivers\smwdm.sys
  0xF7D60000 \SystemRoot\system32\drivers\portcls.sys
  0xF8722000 \SystemRoot\system32\drivers\drmk.sys
  0xF8C8A000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF8732000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF89F2000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF7D49000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF8742000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF8752000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF887A000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF7D38000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF8762000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF8882000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF888A000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF7D08000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF8772000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF8892000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF889A000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF8A70000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF7CAA000 \SystemRoot\system32\DRIVERS\update.sys
  0xF8A16000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF8792000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF87B2000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF8A74000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF88A2000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xF8A76000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF8C6A000 \SystemRoot\System32\Drivers\Null.SYS
  0xF8A78000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF88B2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF88BA000 \SystemRoot\System32\drivers\vga.sys
  0xF8A7A000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF8A7C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF88C2000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF88CA000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7F27000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xEFAE7000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xEFA8E000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xEFA66000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xEFA44000 \SystemRoot\System32\drivers\afd.sys
  0xF85C2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF88D2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xEFA19000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xEF9A9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF85E2000 \SystemRoot\System32\Drivers\Fips.SYS
  0xEF983000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF85F2000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xEF967000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF8A88000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF8A06000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xF8652000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF88E2000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xF8672000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF7CA6000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xF7CA2000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0xF88F2000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xF88FA000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF7C9A000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xEF927000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF8A96000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xEFBDA000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF890A000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF8BF6000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF020000 \SystemRoot\System32\ialmdnt5.dll
  0xBF012000 \SystemRoot\System32\ialmrnt5.dll
  0xBF040000 \SystemRoot\System32\ialmdev5.DLL
  0xBF070000 \SystemRoot\System32\ialmdd5.DLL
  0xEF7D3000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xEF7B3000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xEF507000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xEF4F2000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF8662000 \SystemRoot\system32\drivers\sysaudio.sys
  0xEF2DF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF8ADE000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xEEF8F000 \SystemRoot\system32\DRIVERS\srv.sys
  0xEEC06000 \SystemRoot\System32\Drivers\HTTP.sys
  0xEE8D6000 \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\kxldrpod.sys
  0xEE8AB000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 40):
       0 System Idle Process
       4 System
     576 C:\WINDOWS\system32\smss.exe
     648 csrss.exe
     672 C:\WINDOWS\system32\winlogon.exe
     716 C:\WINDOWS\system32\services.exe
     728 C:\WINDOWS\system32\lsass.exe
     900 C:\WINDOWS\system32\svchost.exe
     976 svchost.exe
    1072 C:\WINDOWS\system32\svchost.exe
    1104 C:\WINDOWS\system32\svchost.exe
    1268 svchost.exe
    1468 C:\WINDOWS\explorer.exe
    1532 svchost.exe
    1660 C:\WINDOWS\system32\spoolsv.exe
    1708 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1908 svchost.exe
    1976 C:\WINDOWS\system32\igfxtray.exe
    1988 C:\WINDOWS\system32\hkcmd.exe
    2012 C:\WINDOWS\system32\igfxpers.exe
    2036 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
     168 C:\Programme\FreePDF_XP\fpassist.exe
     216 C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
     212 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
     260 C:\Programme\iTunes\iTunesHelper.exe
     308 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
     456 C:\Programme\WinZip\WZQKPICK.EXE
     564 C:\Programme\Avira\AntiVir Desktop\avguard.exe
     592 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
     640 C:\Programme\Bonjour\mDNSResponder.exe
    1032 C:\Programme\Java\jre6\bin\jqs.exe
    1172 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    1372 C:\WINDOWS\system32\svchost.exe
    2780 C:\Programme\iPod\bin\iPodService.exe
    2960 C:\Programme\Mozilla Firefox\firefox.exe
    3204 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3628 alg.exe
    1796 C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
    1888 C:\WINDOWS\system32\wscntfy.exe
    3772 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST340014A, Rev: 8.10    

      Size  Device Name          MBR Status
  --------------------------------------------
     37 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!