Rechener ist ständig am arbeiten... Virus?

Saros · 06.12.2010, 13:18

Hi, seit einiger zeit ist mein Rechner ständig am arbeiten.
Hab schon das Forum durchsucht und gegoogelt. Hab auch einige Beiträge gefunden, aber ich denke es ist besser, wenn ich das mal von nem Profi überprüfen lasse. Vielleicht hab ich mir ja ein Rootkit oder Virus eingefangen.
Vielen Dank im Voraus!

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:08:19, on 06.12.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
 
Running processes:
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
D:\Tools und Programme\HiJackThis204.exe
C:\Windows\SysWOW64\DllHost.exe
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [BCU] "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
 
--
End of file - 6943 bytes

--- --- ---

cosinus · 06.12.2010, 22:48

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Saros · 07.12.2010, 12:42

Danke für die schnelle Antwort

Die aktuellen Scans poste ich hier und die vorherigen füge ich dann als Anhang bei.

Zitat:

Malwarebytes:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5260

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.12.2010 12:21:54
mbam-log-2010-12-07 (12-21-54).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147144
Laufzeit: 2 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

OTL:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 07.12.2010 12:29:21 - Run 3
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Users\Thule\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 71,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 48,73 Gb Total Space | 22,79 Gb Free Space | 46,76% Space Free | Partition Type: NTFS
Drive D: | 416,92 Gb Total Space | 306,97 Gb Free Space | 73,63% Space Free | Partition Type: NTFS
Drive G: | 100,00 Mb Total Space | 70,11 Mb Free Space | 70,12% Space Free | Partition Type: NTFS
 
Computer Name: THULE-PC | User Name: Thule | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Thule\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\7-Zip\7zFM.exe (Igor Pavlov)
PRC - C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE ()
PRC - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe (DeviceVM, Inc.)
PRC - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe (DeviceVM, Inc.)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Thule\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (ES lite Service) -- C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE ()
SRV - (BCUService) -- C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe (DeviceVM, Inc.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (SBSDWSCService) -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys ()
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek                                            )
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (gdrv) -- C:\Windows\gdrv.sys (Windows (R) Server 2003 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 8D 7F 37 E7 63 70 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.10.30 12:32:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2010.10.30 12:32:29 | 000,000,000 | ---D | M]
 
[2010.08.21 01:33:51 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\mozilla\Extensions
[2010.10.31 17:17:39 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\mozilla\Firefox\Profiles\nk3etoqd.default\extensions
[2010.08.23 13:08:32 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions
[2010.07.17 04:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010.07.12 17:33:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll
[2010.07.23 01:48:56 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.07.23 01:48:56 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.07.23 01:48:56 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.07.23 01:48:56 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.07.23 01:48:56 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BCU] C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe (DeviceVM, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.185.33 83.169.185.97
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{1946b208-b6ed-11df-b491-6cf04971ee34}\Shell - "" = AutoRun
O33 - MountPoints2\{1946b208-b6ed-11df-b491-6cf04971ee34}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.07 12:13:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\7-Zip
[2010.11.29 17:42:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft WSE
[2010.11.25 23:45:23 | 000,000,000 | ---D | C] -- C:\Users\Thule\AppData\Roaming\Malwarebytes
[2010.11.25 23:45:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2010.11.25 23:45:14 | 000,024,152 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2010.11.25 23:45:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.11.25 23:45:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2010.11.25 23:40:27 | 000,521,448 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\deployJava1.dll
[2010.11.25 23:40:27 | 000,189,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\javaws.exe
[2010.11.25 23:40:27 | 000,171,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\javaw.exe
[2010.11.25 23:40:27 | 000,171,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\java.exe
[2010.11.25 23:40:22 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.11.25 23:35:24 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\Thule\Desktop\OTL.exe
[2010.11.25 23:34:49 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Thule\Desktop\mbam-setup.exe
[2010.11.17 21:13:50 | 000,000,000 | ---D | C] -- C:\Users\Thule\AppData\Roaming\Nero
[2010.11.17 21:09:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Nero
[2010.11.17 21:09:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Nero
[2010.11.17 21:03:40 | 001,974,616 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\D3DCompiler_42.dll
[2010.11.17 21:03:30 | 004,379,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\D3DX9_40.dll
[2010.11.17 21:03:21 | 003,727,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\d3dx9_35.dll
[2010.11.17 21:03:12 | 003,497,832 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\d3dx9_34.dll
[2010.11.17 21:03:04 | 002,388,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\d3dx9_30.dll
[2010.11.17 20:20:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NVIDIA Corporation
[2010.11.17 20:19:23 | 020,284,008 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvoglv64.dll
[2010.11.17 20:19:23 | 007,491,688 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvwgf2umx.dll
[2010.11.17 20:19:23 | 005,473,896 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvwgf2um.dll
[2010.11.17 20:19:23 | 000,067,176 | ---- | C] (Khronos Group) -- C:\Windows\SysNative\OpenCL.dll
[2010.11.17 20:19:23 | 000,057,960 | ---- | C] (Khronos Group) -- C:\Windows\SysWow64\OpenCL.dll
[2010.11.17 20:19:22 | 018,597,480 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcompiler.dll
[2010.11.17 20:19:22 | 014,899,816 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvoglv32.dll
[2010.11.17 20:19:22 | 013,019,752 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcompiler.dll
[2010.11.17 20:19:22 | 012,788,840 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvd3dumx.dll
[2010.11.17 20:19:22 | 010,023,528 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvd3dum.dll
[2010.11.17 20:19:22 | 006,471,784 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcuda.dll
[2010.11.17 20:19:22 | 004,837,480 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcuda.dll
[2010.11.17 20:19:22 | 003,112,552 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcuvid.dll
[2010.11.17 20:19:22 | 002,934,888 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcuvenc.dll
[2010.11.17 20:19:22 | 002,912,360 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcuvid.dll
[2010.11.17 20:19:22 | 002,666,600 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcuvenc.dll
[2010.11.17 20:19:22 | 002,161,256 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvapi64.dll
[2010.11.17 20:19:22 | 001,719,912 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvapi.dll
[2010.11.17 20:19:22 | 001,500,264 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvdispco642050.dll
[2010.11.17 20:19:22 | 001,308,776 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvgenco642030.dll
[2010.11.17 20:19:22 | 000,386,152 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvdecodemft.dll
[2010.11.17 20:19:22 | 000,319,080 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvdecodemft.dll
[2010.11.17 20:19:22 | 000,011,240 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\drivers\nvBridge.kmd
[2010.11.17 20:19:14 | 000,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation
[2010.11.17 20:07:51 | 000,000,000 | ---D | C] -- C:\NVIDIA
[2010.11.13 03:37:19 | 000,000,000 | ---D | C] -- C:\Users\Thule\Documents\Version Cue
[2010.11.13 03:37:19 | 000,000,000 | ---D | C] -- C:\Users\Thule\Documents\AdobeStockPhotos
[2010.11.13 03:37:17 | 000,000,000 | ---D | C] -- C:\ProgramData\FLEXnet
[2010.11.13 03:24:01 | 000,000,000 | ---D | C] -- C:\Users\Thule\Desktop\Neuer Ordner
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.07 10:18:26 | 000,016,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.12.07 10:18:26 | 000,016,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.12.07 10:18:11 | 000,000,723 | ---- | M] () -- C:\Users\Public\Desktop\World of Warcraft.lnk
[2010.12.07 10:16:12 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.12.07 10:16:12 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.12.07 10:16:12 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.12.07 10:16:12 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.12.07 10:16:12 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.12.07 10:11:13 | 000,025,640 | ---- | M] (Windows (R) Server 2003 DDK provider) -- C:\Windows\gdrv.sys
[2010.12.07 10:11:08 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.12.07 10:11:04 | 3220,037,632 | -HS- | M] () -- C:\hiberfil.sys
[2010.12.06 12:56:51 | 000,007,606 | ---- | M] () -- C:\Users\Thule\AppData\Local\Resmon.ResmonCfg
[2010.11.29 17:42:18 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2010.11.29 17:42:06 | 000,024,152 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2010.11.25 23:45:18 | 000,001,013 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.25 23:44:09 | 000,471,560 | ---- | M] () -- C:\Users\Thule\Desktop\Load.exe
[2010.11.25 23:40:23 | 000,521,448 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\deployJava1.dll
[2010.11.25 23:40:23 | 000,189,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\javaws.exe
[2010.11.25 23:40:23 | 000,171,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\javaw.exe
[2010.11.25 23:40:23 | 000,171,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\SysNative\java.exe
[2010.11.25 23:35:27 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\Thule\Desktop\OTL.exe
[2010.11.25 23:34:59 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Thule\Desktop\mbam-setup.exe
[2010.11.23 22:43:00 | 000,083,120 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2010.11.17 21:26:58 | 000,002,561 | ---- | M] () -- C:\Windows\diagwrn.xml
[2010.11.17 21:26:58 | 000,001,908 | ---- | M] () -- C:\Windows\diagerr.xml
[2010.11.13 03:54:56 | 002,701,332 | ---- | M] () -- C:\Users\Thule\Desktop\catabottom12.psd
[2010.11.13 02:40:45 | 001,218,727 | ---- | M] () -- C:\Users\Thule\Desktop\sunn.psd
 
========== Files Created - No Company Name ==========
 
[2010.11.25 23:45:18 | 000,001,013 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.25 23:44:08 | 000,471,560 | ---- | C] () -- C:\Users\Thule\Desktop\Load.exe
[2010.11.17 21:26:42 | 000,002,561 | ---- | C] () -- C:\Windows\diagwrn.xml
[2010.11.17 21:26:42 | 000,001,908 | ---- | C] () -- C:\Windows\diagerr.xml
[2010.11.13 01:49:42 | 001,218,727 | ---- | C] () -- C:\Users\Thule\Desktop\sunn.psd
[2010.11.13 01:45:24 | 002,701,332 | ---- | C] () -- C:\Users\Thule\Desktop\catabottom12.psd
[2010.11.07 02:57:20 | 000,007,606 | ---- | C] () -- C:\Users\Thule\AppData\Local\Resmon.ResmonCfg
[2010.08.21 01:11:02 | 000,000,010 | ---- | C] () -- C:\Windows\GSetup.ini
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
 
========== LOP Check ==========
 
[2010.09.03 01:31:07 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\Command & Conquer 3 Tiberium Wars
[2010.09.01 22:09:35 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\DeepBurner
[2010.10.31 15:46:26 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\GrabPro
[2010.12.03 15:21:51 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\ICQ
[2010.08.22 14:18:56 | 000,000,000 | ---D | M] -- C:\Users\Thule\AppData\Roaming\TS3Client
[2010.11.02 23:56:05 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 07.12.2010 12:29:21 - Run 3
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Users\Thule\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 71,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 48,73 Gb Total Space | 22,79 Gb Free Space | 46,76% Space Free | Partition Type: NTFS
Drive D: | 416,92 Gb Total Space | 306,97 Gb Free Space | 73,63% Space Free | Partition Type: NTFS
Drive G: | 100,00 Mb Total Space | 70,11 Mb Free Space | 70,12% Space Free | Partition Type: NTFS
 
Computer Name: THULE-PC | User Name: Thule | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.url [@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" File not found
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416023FF}" = Java(TM) 6 Update 23 (64-bit)
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 260.99
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{07300F01-89CA-4CF8-92BD-2A605EB83C95}" = EasySaver B9.0904.1 
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{29F05234-DCBB-4FE0-88DC-5160C9250312}" = Adobe Photoshop CS3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{5B363E1D-8C36-4458-BAE4-D5081999E094}" = Browser Configuration Utility
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{802771A9-A856-4A41-ACF7-1450E523C923}" = Adobe XMP Panels CS3
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller  Driver
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B0C30E93-D3D9-4F04-A2AC-54749B573275}" = Command & Conquer 3
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}" = Adobe Setup
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"7-Zip" = 7-Zip 9.11 beta
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe_5f143314a5d434c8511097393d17397" = Adobe Photoshop CS3
"Audiograbber" = Audiograbber 1.83 SE 
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Setup.divx.com" = DivX-Setup
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"VLC media player" = VLC media player 0.9.9
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"World of Warcraft" = World of Warcraft
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.11.2010 12:55:46 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 11.11.2010 20:55:49 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 15.11.2010 10:33:32 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 17.11.2010 10:14:54 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 17.11.2010 15:06:05 | Computer Name = Thule-PC | Source = Microsoft-Windows-CAPI2 | ID = 513
Description = Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts
 "System Writer".  Details: AddLegacyDriverFiles: Unable to back up image of binary
 nvlddmkm.  System Error: Das System kann die angegebene Datei nicht finden.  .
 
Error - 17.11.2010 16:17:47 | Computer Name = Thule-PC | Source = Application Hang | ID = 1002
Description = Programm nero.exe, Version 10.2.12.100 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 478    Startzeit: 
01cb8694484a627c    Endzeit: 8206    Anwendungspfad: C:\Program Files (x86)\Nero\Nero 10\Nero
 Burning ROM\nero.exe    Berichts-ID: b280ecb4-f287-11df-8973-6cf04971ee34  
 
Error - 24.11.2010 08:08:54 | Computer Name = Thule-PC | Source = Application Hang | ID = 1002
Description = Programm DeepBurner.exe, Version 1.9.0.228 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: d8c    Startzeit: 
01cb8bd02e8dabca    Endzeit: 35340    Anwendungspfad: C:\Program Files (x86)\Astonsoft\DeepBurner\DeepBurner.exe

Berichts-ID:
 82b06793-f7c3-11df-b003-6cf04971ee34  
 
Error - 29.11.2010 13:43:45 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 30.11.2010 10:52:18 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 06.12.2010 18:16:09 | Computer Name = Thule-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
 (x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der
 Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.
 
[ System Events ]
Error - 20.08.2010 20:12:00 | Computer Name = Thule-PC | Source = Service Control Manager | ID = 7030
Description = Der Dienst "ES lite Service for program management." ist als interaktiver
 Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive
 Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 25.08.2010 10:01:21 | Computer Name = Thule-PC | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 28.08.2010 18:09:52 | Computer Name = Thule-PC | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 06.09.2010 09:20:56 | Computer Name = Thule-PC | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 27.10.2010 07:24:56 | Computer Name = Thule-PC | Source = DCOM | ID = 10010
Description = 
 
Error - 06.11.2010 21:49:59 | Computer Name = Thule-PC | Source = VDS Basic Provider | ID = 33554433
Description = 
 
Error - 17.11.2010 15:45:17 | Computer Name = Thule-PC | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 25.11.2010 19:02:10 | Computer Name = Thule-PC | Source = VDS Basic Provider | ID = 33554433
Description = 
 
Error - 06.12.2010 18:14:11 | Computer Name = Thule-PC | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
 
< End of report >

--- --- ---

So, ich hoffe ich hab jetzt alles richtig gemacht

Die anderen Dateien kann ich zwar zippen, aber hochladen kann ich sie irgendwie nicht -.-
Hoffe es ist in ordnung, wenn ich sie als Text-Datei hochlade...
Danke im Voraus!

cosinus · 07.12.2010, 13:27

Zitat:

Art des Suchlaufs: Quick-Scan

Ich wollte einen Vollscan sehen!

Saros · 07.12.2010, 23:17

War ja klar, dass irgendwas wieder falsch war

Hab jetzt nochmal nen vollständigen Scan durchgeführt und es wurde auch tatsächlich was gefunden

Und nun?

Zitat:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5264

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.12.2010 23:14:33
mbam-log-2010-12-07 (23-14-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 258231
Laufzeit: 21 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Thule\AppData\Local\Mozilla\Firefox\Profiles\nk3etoqd.default\Cache\da761e44d01 (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.

Saros · 08.12.2010, 02:59

Hi, ich habe nochnal SpyBot durchlaufen lassen. Der hat jetzt auch was gefunden...

Zitat:

Win32.AutoRun.tmp: [SBI $751B1850] Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SDWinSec.exe (1.0.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2010-08-21 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2010-06-29 Includes\Adware.sbi (*)
2010-11-30 Includes\AdwareC.sbi (*)
2010-08-13 Includes\Cookies.sbi (*)
2010-09-22 Includes\Dialer.sbi (*)
2010-11-30 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2010-11-30 Includes\Hijackers.sbi (*)
2010-11-30 Includes\HijackersC.sbi (*)
2010-09-15 Includes\iPhone.sbi (*)
2010-08-02 Includes\Keyloggers.sbi (*)
2010-11-30 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-09-13 Includes\Malware.sbi (*)
2010-12-01 Includes\MalwareC.sbi (*)
2010-05-18 Includes\PUPS.sbi (*)
2010-10-12 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-11-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-06-29 Includes\Spyware.sbi (*)
2010-11-30 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-11-02 Includes\Trojans.sbi (*)
2010-11-30 Includes\TrojansC-02.sbi (*)
2010-11-30 Includes\TrojansC-03.sbi (*)
2010-11-30 Includes\TrojansC-04.sbi (*)
2010-11-30 Includes\TrojansC-05.sbi (*)
2010-11-30 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Hoffe du kannst was damit anfangen.
Vielen Dank im Voraus!

cosinus · 08.12.2010, 10:21

Dann bitte jetzt CF ausführen, das kann jetzt auch 64-Bit.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Saros · 08.12.2010, 11:51

Ok, alles nach Vorschrift durchgeführt

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-07.03 - Thule 08.12.2010  11:37:43.1.4 - x64
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.4094.2993 [GMT 1:00]
ausgeführt von:: c:\users\Thule\Desktop\Cofi.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-08 bis 2010-12-08  ))))))))))))))))))))))))))))))
.

2010-12-08 10:39 . 2010-12-08 10:39	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-12-08 10:21 . 2010-12-08 10:21	--------	d-----w-	c:\program files\CCleaner
2010-12-07 11:13 . 2010-12-07 11:13	--------	d-----w-	c:\program files (x86)\7-Zip
2010-11-29 16:42 . 2010-11-29 16:42	--------	d-----w-	c:\program files (x86)\Microsoft WSE
2010-11-25 22:45 . 2010-11-25 22:45	--------	d-----w-	c:\users\Thule\AppData\Roaming\Malwarebytes
2010-11-25 22:45 . 2010-11-29 16:42	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-11-25 22:45 . 2010-11-29 16:42	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-25 22:45 . 2010-11-25 22:45	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-25 22:45 . 2010-12-03 17:50	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2010-11-25 22:40 . 2010-11-25 22:40	521448	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-25 22:40 . 2010-11-25 22:40	--------	d-----w-	c:\program files\Java
2010-11-17 20:13 . 2010-11-17 20:18	--------	d-----w-	c:\users\Thule\AppData\Roaming\Nero
2010-11-17 20:09 . 2010-11-17 20:30	--------	d-----w-	c:\program files (x86)\Nero
2010-11-17 20:09 . 2010-11-17 20:13	--------	d-----w-	c:\programdata\Nero
2010-11-17 20:03 . 2009-09-04 16:29	1974616	----a-w-	c:\windows\SysWow64\D3DCompiler_42.dll
2010-11-17 20:03 . 2008-10-15 05:22	4379984	----a-w-	c:\windows\SysWow64\D3DX9_40.dll
2010-11-17 20:03 . 2007-07-19 17:14	3727720	----a-w-	c:\windows\SysWow64\d3dx9_35.dll
2010-11-17 20:03 . 2007-05-16 15:45	3497832	----a-w-	c:\windows\SysWow64\d3dx9_34.dll
2010-11-17 19:20 . 2010-11-17 19:20	--------	d-----w-	c:\program files (x86)\NVIDIA Corporation
2010-11-17 19:07 . 2010-11-17 19:07	--------	d-----w-	C:\NVIDIA
2010-11-13 02:37 . 2010-11-13 02:37	--------	d-----w-	c:\programdata\FLEXnet

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-08 10:26 . 2010-08-21 00:16	25640	----a-w-	c:\windows\gdrv.sys
2010-11-23 21:43 . 2010-08-21 00:41	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-16 12:13 . 2010-10-16 12:13	5901416	----a-w-	c:\windows\system32\nvcpl.dll
2010-10-16 12:13 . 2010-10-16 12:13	2590824	----a-w-	c:\windows\system32\nvsvc64.dll
2010-10-16 12:13 . 2010-10-16 12:13	116328	----a-w-	c:\windows\system32\nvmctray.dll
2010-10-16 12:13 . 2010-10-16 12:13	989800	----a-w-	c:\windows\system32\nvvsvc.exe
2010-10-16 12:13 . 2010-10-16 12:13	61032	----a-w-	c:\windows\system32\nvshext.dll
2010-10-16 12:13 . 2010-10-16 12:13	1881704	----a-w-	c:\windows\system32\nvsvcr.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BCU"="c:\program files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe" [2009-08-04 346320]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-02 834544]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 BCUService;Browser Configuration Utility Service;c:\program files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe [2009-08-04 219360]
S2 ES lite Service;ES lite Service for program management.;c:\program files (x86)\Gigabyte\EasySaver\ESSVR.EXE [2009-08-24 68136]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-10-16 369256]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-07-30 236544]

.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-08-18 8067616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\program files (x86)\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\users\Thule\AppData\Roaming\Mozilla\Firefox\Profiles\nk3etoqd.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files (x86)\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\program files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
FF - plugin: c:\windows\SysWOW64\Macromed\Flash\NPSWF32.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3257682490-2478824090-3410720791-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:93,3c,5f,cc,fc,24,f5,0e,d4,53,a8,d5,1d,2d,a7,93,86,c9,57,dc,ce,ae,ac,
   46,f0,af,88,b9,fa,e8,93,c3,e0,18,6a,d7,40,b5,cf,2f,17,a8,bc,5f,e5,85,cd,80,\
"??"=hex:0c,a1,a1,56,4c,97,e4,61,e6,d5,41,44,98,f7,78,06

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-12-08  11:40:15
ComboFix-quarantined-files.txt  2010-12-08 10:40

Vor Suchlauf: 7 Verzeichnis(se), 24.259.072.000 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 24.150.044.672 Bytes frei

- - End Of File - - 42FB70451774D8E247A317473AB2227A[/QUOTE]#

--- --- ---

Gruß, Andi

cosinus · 08.12.2010, 12:00

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Saros · 08.12.2010, 12:44

Das ging aber schnell

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: Gigabyte Technology Co., Ltd.
BIOS Manufacturer: Award Software International, Inc.
System Manufacturer: Gigabyte Technology Co., Ltd.
System Product Name: GA-MA785GM-US2H
Logical Drives Mask: 0x0000007d

Kernel Drivers (total 189):
0x02A5B000 \SystemRoot\system32\ntoskrnl.exe
0x02A12000 \SystemRoot\system32\hal.dll
0x00BAA000 \SystemRoot\system32\kdcom.dll
0x00CBE000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x00CCB000 \SystemRoot\system32\PSHED.dll
0x00CDF000 \SystemRoot\system32\CLFS.SYS
0x00D3D000 \SystemRoot\system32\CI.dll
0x00C00000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00CA4000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00E4D000 \SystemRoot\System32\Drivers\spms.sys
0x00F73000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x00F7C000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x01087000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x010DE000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x010E8000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x010F5000 \SystemRoot\system32\DRIVERS\pci.sys
0x01128000 \SystemRoot\System32\drivers\partmgr.sys
0x0113D000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x01152000 \SystemRoot\System32\drivers\volmgrx.sys
0x011AE000 \SystemRoot\system32\DRIVERS\pciide.sys
0x011B5000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x011C5000 \SystemRoot\System32\drivers\mountmgr.sys
0x011DF000 \SystemRoot\system32\DRIVERS\atapi.sys
0x01000000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x0102A000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x01035000 \SystemRoot\system32\drivers\fltmgr.sys
0x011E8000 \SystemRoot\system32\drivers\fileinfo.sys
0x01243000 \SystemRoot\System32\Drivers\Ntfs.sys
0x0148C000 \SystemRoot\System32\Drivers\msrpc.sys
0x014EA000 \SystemRoot\System32\Drivers\ksecdd.sys
0x01504000 \SystemRoot\System32\Drivers\cng.sys
0x01577000 \SystemRoot\System32\drivers\pcw.sys
0x01588000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x016FC000 \SystemRoot\system32\drivers\ndis.sys
0x01600000 \SystemRoot\system32\drivers\NETIO.SYS
0x01660000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01801000 \SystemRoot\System32\drivers\tcpip.sys
0x0168B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x016D5000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x01592000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x016E5000 \SystemRoot\System32\Drivers\spldr.sys
0x01400000 \SystemRoot\System32\drivers\rdyboost.sys
0x017EE000 \SystemRoot\System32\Drivers\mup.sys
0x016ED000 \SystemRoot\System32\drivers\hwpolicy.sys
0x0143A000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01474000 \SystemRoot\system32\DRIVERS\disk.sys
0x01200000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x00FAB000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x01239000 \SystemRoot\System32\Drivers\Null.SYS
0x015F8000 \SystemRoot\System32\Drivers\Beep.SYS
0x00FD5000 \SystemRoot\System32\drivers\vga.sys
0x00E00000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x00E25000 \SystemRoot\System32\drivers\watchdog.sys
0x00E35000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x00E3E000 \SystemRoot\system32\drivers\rdpencdd.sys
0x00FE3000 \SystemRoot\system32\drivers\rdprefmp.sys
0x00FEC000 \SystemRoot\System32\Drivers\Msfs.SYS
0x02C25000 \SystemRoot\System32\Drivers\Npfs.SYS
0x02C36000 \SystemRoot\system32\DRIVERS\tdx.sys
0x02C54000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02C61000 \SystemRoot\system32\drivers\afd.sys
0x02CEB000 \SystemRoot\System32\DRIVERS\netbt.sys
0x02D30000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x02D39000 \SystemRoot\system32\DRIVERS\pacer.sys
0x02D5F000 \SystemRoot\system32\DRIVERS\netbios.sys
0x02D6E000 \SystemRoot\system32\DRIVERS\serial.sys
0x02D8B000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x02DA6000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03E4A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03E9B000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03EA7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03EB2000 \SystemRoot\System32\drivers\discache.sys
0x03EC1000 \SystemRoot\system32\drivers\csc.sys
0x03F44000 \SystemRoot\System32\Drivers\dfsc.sys
0x03F62000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x03F73000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x03F95000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x03FBB000 \SystemRoot\system32\DRIVERS\amdppm.sys
0x03FD0000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x04809000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x053E3000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x04066000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x0415A000 \SystemRoot\System32\drivers\dxgmms1.sys
0x041A0000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
0x041DE000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x04000000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x041E9000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x03FD9000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x03E00000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x02DBA000 \SystemRoot\System32\Drivers\aqx1i6tj.SYS
0x04056000 \SystemRoot\system32\DRIVERS\fdc.sys
0x053E5000 \SystemRoot\system32\DRIVERS\serenum.sys
0x02C00000 \SystemRoot\system32\DRIVERS\parport.sys
0x044C0000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x044D0000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x044E6000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x0450A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x04516000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x04545000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x04560000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04581000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x0459B000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x045A6000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x045B5000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x045C4000 \SystemRoot\system32\DRIVERS\swenum.sys
0x04400000 \SystemRoot\system32\DRIVERS\ks.sys
0x04443000 \SystemRoot\system32\DRIVERS\umbus.sys
0x04455000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x044AF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0x045C6000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x0660B000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x0683A000 \SystemRoot\system32\drivers\portcls.sys
0x06877000 \SystemRoot\system32\drivers\drmk.sys
0x06899000 \SystemRoot\system32\drivers\ksthunk.sys
0x0689F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x068AD000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x068C6000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x068CF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x068D1000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x00000000 \SystemRoot\System32\win32k.sys
0x068EC000 \SystemRoot\System32\drivers\Dxapi.sys
0x068F8000 \SystemRoot\System32\Drivers\crashdmp.sys
0x06906000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x06912000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x0691B000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x0692E000 \SystemRoot\system32\DRIVERS\monitor.sys
0x004B0000 \SystemRoot\System32\TSDDD.dll
0x00660000 \SystemRoot\System32\cdd.dll
0x00900000 \SystemRoot\System32\ATMFD.DLL
0x0693C000 \SystemRoot\system32\drivers\luafv.sys
0x0695F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x0697C000 \SystemRoot\system32\drivers\WudfPf.sys
0x0699D000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x069B2000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x06CFC000 \SystemRoot\system32\drivers\HTTP.sys
0x06DC4000 \SystemRoot\system32\DRIVERS\bowser.sys
0x06DE2000 \SystemRoot\System32\drivers\mpsdrv.sys
0x06C00000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x06C2C000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x06C79000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x074CF000 \SystemRoot\system32\drivers\peauth.sys
0x07575000 \SystemRoot\System32\Drivers\secdrv.SYS
0x07580000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x075AD000 \SystemRoot\System32\drivers\tcpipreg.sys
0x07400000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0761B000 \SystemRoot\System32\DRIVERS\srv.sys
0x076B3000 \??\C:\Windows\gdrv.sys
0x0779E000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x077AC000 \??\C:\Windows\system32\Drivers\PROCEXP113.SYS
0x77A80000 \Windows\System32\ntdll.dll
0x47CE0000 \Windows\System32\smss.exe
0xFFDA0000 \Windows\System32\apisetschema.dll
0xFF7D0000 \Windows\System32\autochk.exe
0xFFCF0000 \Windows\System32\msvcrt.dll
0x77C50000 \Windows\System32\normaliz.dll
0xFFBC0000 \Windows\System32\wininet.dll
0xFFBA0000 \Windows\System32\imagehlp.dll
0xFFB90000 \Windows\System32\nsi.dll
0xFFB70000 \Windows\System32\sechost.dll
0xFF960000 \Windows\System32\ole32.dll
0xFF880000 \Windows\System32\oleaut32.dll
0xFF7E0000 \Windows\System32\comdlg32.dll
0xFF760000 \Windows\System32\shlwapi.dll
0xFF650000 \Windows\System32\msctf.dll
0xFF3F0000 \Windows\System32\iertutil.dll
0xFF350000 \Windows\System32\clbcatq.dll
0x77C40000 \Windows\System32\psapi.dll
0xFF320000 \Windows\System32\imm32.dll
0xFF250000 \Windows\System32\usp10.dll
0xFF070000 \Windows\System32\setupapi.dll
0xFEF90000 \Windows\System32\advapi32.dll
0xFE200000 \Windows\System32\shell32.dll
0x77980000 \Windows\System32\user32.dll
0xFE180000 \Windows\System32\difxapi.dll
0xFE050000 \Windows\System32\rpcrt4.dll
0xFDFE0000 \Windows\System32\gdi32.dll
0xFDE60000 \Windows\System32\urlmon.dll
0xFDE50000 \Windows\System32\lpk.dll
0xFDE00000 \Windows\System32\ws2_32.dll
0xFDDB0000 \Windows\System32\Wldap32.dll
0x77860000 \Windows\System32\kernel32.dll
0xFDD90000 \Windows\System32\devobj.dll
0xFDD20000 \Windows\System32\KernelBase.dll
0xFDBB0000 \Windows\System32\crypt32.dll
0xFDB10000 \Windows\System32\comctl32.dll
0xFDAD0000 \Windows\System32\wintrust.dll
0xFDA90000 \Windows\System32\cfgmgr32.dll
0xFDA80000 \Windows\System32\msasn1.dll
0x77C30000 \Windows\SysWOW64\normaliz.dll

Processes (total 51):
0 System Idle Process
4 System
288 C:\Windows\System32\smss.exe
420 csrss.exe
480 C:\Windows\System32\wininit.exe
512 csrss.exe
536 C:\Windows\System32\services.exe
556 C:\Windows\System32\lsass.exe
564 C:\Windows\System32\lsm.exe
684 C:\Windows\System32\winlogon.exe
716 C:\Windows\System32\svchost.exe
808 C:\Windows\System32\nvvsvc.exe
848 C:\Windows\System32\svchost.exe
932 C:\Windows\System32\svchost.exe
972 C:\Windows\System32\svchost.exe
1016 C:\Windows\System32\svchost.exe
1048 C:\Windows\System32\svchost.exe
1136 C:\Windows\System32\svchost.exe
1176 C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe
1188 C:\Windows\System32\nvvsvc.exe
1416 C:\Windows\System32\spoolsv.exe
1444 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
1572 C:\Windows\System32\svchost.exe
1608 C:\Windows\System32\dwm.exe
1616 C:\Windows\System32\taskhost.exe
1684 C:\Windows\explorer.exe
1784 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
1840 C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
1864 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1896 C:\Program Files (x86)\Gigabyte\EasySaver\essvr.exe
1948 C:\Windows\System32\svchost.exe
2036 C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
1512 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
1508 C:\Windows\System32\conhost.exe
1604 C:\Windows\System32\svchost.exe
2008 C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
2260 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
2612 C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe
2620 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
2968 WmiPrvSE.exe
3056 C:\Windows\System32\SearchIndexer.exe
3092 C:\Program Files\Windows Media Player\wmpnetwk.exe
3320 C:\Windows\System32\svchost.exe
4028 C:\Windows\System32\svchost.exe
844 C:\Windows\System32\svchost.exe
336 C:\Windows\System32\audiodg.exe
1932 C:\Windows\System32\SearchProtocolHost.exe
2356 C:\Windows\System32\SearchFilterHost.exe
312 C:\Users\Thule\Desktop\MBRCheck.exe
1544 C:\Windows\System32\conhost.exe
4060 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: STM3500418AS, Rev: CC38

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Done!

Gruß, Andi

cosinus · 08.12.2010, 13:10

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Saros · 10.12.2010, 00:10

Hmm, SuperAntiSpyware hat was gefunden... aber wie ich gesehen habe, gabs schon mal ein Thema hier im Forum, mit der gleichen Warnung und da wars wohl ein Fehlalarm.

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/10/2010 at 00:00 AM

Application Version : 4.46.1000

Core Rules Database Version : 5980
Trace Rules Database Version: 3792

Scan type : Complete Scan
Total Scan Time : 00:48:07

Memory items scanned : 562
Memory threats detected : 0
Registry items scanned : 12362
Registry threats detected : 0
File items scanned : 116773
File threats detected : 1

Trojan.Agent/Gen-FakeAV
C:\PROGRAM FILES (X86)\WINRAR\DEFAULT.SFX

Zitat:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5282

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.12.2010 23:07:23
mbam-log-2010-12-09 (23-07-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 260508
Laufzeit: 21 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß Andi

cosinus · 10.12.2010, 11:37

Ja, ist ein Fehlalarm. Noch Probleme oder ist nun alles paletti?

Saros · 10.12.2010, 18:22

Scheint alles in ordnung zu sein. Der Rechner beansprucht nicht mehr so viel Arbeitsspeicher, die CPU-Auslastung ist wieder bei 0% und die LED is auch nicht mehr ständig am blinken.

War jetzt eigentlich was ernsthaftes oder nicht?

Gruß Andi

cosinus · 10.12.2010, 19:33

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

08.12.2010, 13:10	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rechener ist ständig am arbeiten... Virus? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

10.12.2010, 11:37	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rechener ist ständig am arbeiten... Virus? Ja, ist ein Fehlalarm. Noch Probleme oder ist nun alles paletti? __________________ Logfiles bitte immer in CODE-Tags posten

Rechener ist ständig am arbeiten... Virus?

Log-Analyse und Auswertung: Rechener ist ständig am arbeiten... Virus?