Hallo an alle,

ich habe seit letzter Woche Donnerstag ein Problem mit meinem Rechner, auf dem scheinbar mehrere Viren und Trojaner waren. Bisher habe ich vesucht, die Schädlinge alleine zu bekämpfen bzw. zu löschen, denke aber profesionelle Hilfe ist anzuraten.
Ich habe die Schädlingen durch einen Routine-System-Scan mit meinem Virenscanner GDATA Internetsecurity 2011 gefunden. Dabei wurden zunächst die folgenden Viren gefunden:

• (1) Virus: Other:Malware-gen, Java:Agent-AW [Expl] (Engine-B); Pfad: C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63; Archiv: 3e5eaabf-1a54ffbf

• (2) Virus: Other:Malware-gen, Java:Agent-AW [Expl] (Engine-B); Pfad: C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49; Archiv: 35217071-6fd6161c

Ich habe die Dateien in die Quarantäne gesteckt, an GDATA gesendet und dann gelöscht. Anschließend habe ich meinen Rechner mit Malwarebytes-Anti-Malware gescannt und einen weiteren Trojaner in einer Datei entdeckt, die ich auf meinem Rechner gespeichert hatte.

• (3) Trojan.FakeAlert

Auch hier habe ich die Datei in die Quarantäne geschoben und dann gelöscht.
Anschließend habe ich mit Hijack This meinen Rechner gescannt und es war scheinbar nichts Verdächtiges mehr auf dem Rechner.

Irgendwie war ich mir aber nicht sicher, ob mein Rechner wieder sauber ist und daher habe ich im "Abgesicherten Modus" meinen Rechner mit SUPERAntiSpyware gescannt. Dieser Scanner hat mir dann folgenden Trojaner gemeldet:

• (4) Trojan.Vundo-Variant/F in C:\Windows\Syswow64\avsredirect.dll

Diesen Trojaner habe ich jetzt aktuell in Quarantäne, weiß aber nicht ob ich die Datei als Systemdatei löschen kann oder nicht. Außerdem ist mir unklar, ob mein Rechner jetzt wieder sauber ist.

Ich hatte den Trojaner außerdem nochmal aus der Quarantäne genommen, um die infizierte Datei bei VirusTotal prüfen zu lassen - das Log habe ich leider nicht mehr, aber die die Wahrscheinlichkeit eines Virus war bei 14%.
Außerdem hatte ein neuer Scan mit SUPER AntiSpyware anschließend 2 infizierte Dateien gemeldet, die ich beide wieder in die Quarantäne geschoben habe (die urspränglich infizierte Datei und eine neue):

• (4) Trojan.Vundo-Variant/F in C:\Windows\Syswow64\avsredirect.dll

• (5) Trojan.Vundo-Variant/F in C:\Users\***\Appdata\Roaming\Microsoft\Windows\Recent\avsredirect.lnk

Anschließende weitere Systemscans mit allen drei Virenscannern ergaben folgendes:

• Aktuell findet Malwarebytes' Anti-Malware keinen Virus/Trojaner:

Log:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5286

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

12.12.2010 12:22:03
mbam-log-2010-12-12 (12-22-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|L:\|)
Durchsuchte Objekte: 137662
Laufzeit: 1 Stunde(n), 15 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

• Auch SUPER AntiSpyware zeigt keinen weiteren Trojaner an, außer natürlich die entsprechenden Dateien in der Quarantäne.

• Und auch GData zeigt nix an.

Im Anhang habe ich zusätzlich noch die aktuellen OTL-Logs hochgeladen.

Ich bin mir nun aber unsicher ob mein Rechner sauber ist und was ich mit der infizierten Datei in der Quarantäne machen soll. Mich würde daher interessieren ob ich:

• a) Den Trojaner aus der Qarantäne einfach löschen kann oder ob die infizierte Datei eine wichtige System-Datei ist?
• b) mein Rechner wieder sauber ist?
• c) oder wie ich ihn wieder sauber bekommen?

Vielen Dank schon mal für eure Hilfe.

LG Martin

P.S. Mir ist aufgefallen, dass die Virenscanner (vor allem GData) bei einem vollständigen Systemscan sehr langsam laufen im Moment (GData braucht gefühlt doppelt so lang als früher). Gibts da nen Grund, wieso die scanner so lange brauchen? Vielleicht weil ich im Moment drei verschiedene Virenscanner auf dem Rechner habe???

Hallo und

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O33 - MountPoints2\{51e57265-453c-11df-9d54-00508dbcfe80}\Shell\AutoRun\command - "" = F:\Toshiba\more4you.exe -- File not found
O33 - MountPoints2\{5421c401-9a4d-11df-9ff9-00508dbcfe80}\Shell - "" = AutoRun
O33 - MountPoints2\{5421c401-9a4d-11df-9ff9-00508dbcfe80}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
O33 - MountPoints2\{9ae6c1b9-6c68-11de-9119-00508dbcfe80}\Shell\AutoRun\command - "" = F:\Menu.exe -- File not found
@Alternate Data Stream - 489 bytes -> C:\ProgramData\TEMP:05EE1EEF
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hi Arne,

vielen Dank für deine Hilfe. Ich werde den Fix morgen mal durchführen.
Mich würde dabei vor allem aber auch interessieren, was ich mit diesem Befehl fixe bzw. was der Befehl bewirkt?!

Wäre cool wenn du mir das erklären könntest.

LG Martin

Das wird hier aber sehr langwierig, wenn ich anfange jede Zeile Code zu erklären
Ganz kurz: Mit diesem OTL-Script werden die O33-Einträge gefixt, ein ADS wird gelöscht, sowie die Tempdateien geleert und die Hosts-Datei glattgezogen.

Hi Arne,

haben den Fix ausgeführt und folgendes Log-Ergebnis bekommen:

"All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{51e57265-453c-11df-9d54-00508dbcfe80}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51e57265-453c-11df-9d54-00508dbcfe80}\ not found.
File F:\Toshiba\more4you.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5421c401-9a4d-11df-9ff9-00508dbcfe80}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5421c401-9a4d-11df-9ff9-00508dbcfe80}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5421c401-9a4d-11df-9ff9-00508dbcfe80}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5421c401-9a4d-11df-9ff9-00508dbcfe80}\ not found.
File F:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ae6c1b9-6c68-11de-9119-00508dbcfe80}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ae6c1b9-6c68-11de-9119-00508dbcfe80}\ not found.
File F:\Menu.exe not found.
ADS C:\ProgramData\TEMP:05EE1EEF deleted successfully.
========== COMMANDS ==========
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: AppData

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Martin
->Temp folder emptied: 4468293 bytes
->Temporary Internet Files folder emptied: 259379659 bytes
->Java cache emptied: 69379011 bytes
->FireFox cache emptied: 58123017 bytes
->Flash cache emptied: 8017276 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 356352 bytes
%systemroot%\System32 .tmp files removed: 5590288 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 95132445 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 477,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 12172010_101937

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

Registry entries deleted on Reboot..."


Ist mein Rechner nun sauber oder welche weiteren Schritte sind noch zu tun?

LG Martin

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Anbei das Ergebnis von Combofix:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-12-16.04 - Martin 17.12.2010  11:18:19.1.4 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.8190.6255 [GMT 1:00]
ausgeführt von:: c:\users\Martin\Desktop\cofi.exe
AV: G Data InternetSecurity 2011 *Disabled/Updated* {54ACC2FC-837E-E665-7A92-5352D560D5EF}
FW: G Data Personal Firewall *Disabled* {6C9743D9-C911-E73D-51CD-FA672BB39294}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SysWow64\clauth1.dll
c:\windows\SysWow64\clauth2.dll
c:\windows\SysWow64\nsprs.dll
c:\windows\SysWow64\serauth1.dll
c:\windows\SysWow64\serauth2.dll
c:\windows\SysWow64\ssprs.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-17 bis 2010-12-17  ))))))))))))))))))))))))))))))
.

2010-12-17 10:27 . 2010-12-17 10:27	--------	d-----w-	c:\users\Martin\AppData\Local\temp
2010-12-17 10:27 . 2010-12-17 10:27	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-12-17 10:02 . 2010-12-17 10:02	--------	d-----w-	c:\program files\CCleaner
2010-12-17 09:36 . 2010-11-10 05:35	8199504	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{7FD721AE-412F-4AFE-BB99-0BA154D7F88B}\mpengine.dll
2010-12-17 09:19 . 2010-12-17 09:19	--------	d-----w-	C:\_OTL
2010-12-15 11:23 . 2010-10-12 17:43	35328	----a-w-	c:\program files\Windows Mail\wabfind.dll
2010-12-10 22:25 . 2010-12-10 22:25	--------	d-----w-	c:\users\Martin\AppData\Roaming\SUPERAntiSpyware.com
2010-12-10 22:25 . 2010-12-10 22:25	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2010-12-10 22:25 . 2010-12-10 22:25	--------	d-----w-	c:\programdata\!SASCORE
2010-12-10 22:25 . 2010-12-17 02:47	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-12-10 12:41 . 2010-12-10 12:41	--------	d-----w-	c:\users\Martin\AppData\Roaming\Malwarebytes
2010-12-10 12:41 . 2010-12-10 12:41	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-10 12:41 . 2010-11-29 16:42	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-10 12:41 . 2010-12-10 12:41	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2010-12-10 12:40 . 2010-12-10 12:40	--------	d-----w-	c:\program files (x86)\Trend Micro
2010-12-06 22:43 . 2010-12-06 22:47	--------	d-----w-	c:\program files (x86)\SPSS
2010-11-28 21:04 . 2010-11-28 21:04	--------	d-----w-	c:\program files (x86)\twhirl
2010-11-24 12:30 . 2010-10-19 04:56	7680	----a-w-	c:\program files\Internet Explorer\iecompat.dll
2010-11-24 12:30 . 2010-10-19 04:27	7680	----a-w-	c:\program files (x86)\Internet Explorer\iecompat.dll
2010-11-21 16:36 . 2010-11-21 16:36	--------	d-----w-	c:\users\Martin\AppData\Local\Geckofx

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2009-11-19 13:18	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-30 16:54 . 2009-04-27 17:23	106224	----a-w-	c:\windows\system32\drivers\GRD.sys
2010-10-30 16:51 . 2010-04-25 07:41	57288	----a-w-	c:\windows\system32\drivers\PktIcpt.sys
2010-10-30 16:48 . 2010-10-30 16:36	49096	----a-w-	c:\windows\system32\drivers\HookCentre.sys
2010-10-30 16:48 . 2009-08-25 14:13	40392	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2010-10-30 16:48 . 2009-04-27 16:59	85960	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2010-10-30 16:35 . 2009-04-27 16:59	48584	----a-w-	c:\windows\system32\drivers\gdwfpcd64.sys
2010-10-19 09:41 . 2009-10-03 08:18	270720	------w-	c:\windows\system32\MpSigStub.exe
2010-10-14 00:36 . 2010-10-14 00:36	15451288	----a-w-	c:\windows\SysWow64\xlive.dll
2010-10-14 00:36 . 2010-10-14 00:36	13642904	----a-w-	c:\windows\SysWow64\xlivefnt.dll
2010-10-07 14:50 . 2009-01-18 14:36	466520	----a-w-	c:\windows\system32\wrap_oal.dll
2010-10-07 14:50 . 2009-01-18 14:36	122968	----a-w-	c:\windows\system32\OpenAL32.dll
2010-10-07 14:50 . 2008-11-13 21:56	445016	----a-w-	c:\windows\SysWow64\wrap_oal.dll
2010-10-07 14:50 . 2008-11-13 21:56	109144	----a-w-	c:\windows\SysWow64\OpenAL32.dll
2010-10-05 21:02 . 2010-10-14 06:28	64818688	----a-w-	c:\users\Martin\nba2k11.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Martin\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Martin\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Martin\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1555968]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-12-17 2988784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"G Data AntiVirus Tray Application"="c:\program files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe" [2010-08-26 996936]
"GDFirewallTray"="c:\program files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe" [2010-08-26 1538120]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

c:\users\Martin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Martin\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 netr7364;Linksys Compact Wireless-G USB Adapter Driver for Vista;c:\windows\system32\DRIVERS\WUSB54GCx64.sys [2007-03-12 320512]
R3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\DRIVERS\wg111v3.sys [2007-04-23 269824]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [2010-10-30 40392]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-06-29 834544]
S1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2010-10-30 85960]
S1 gdwfpcd;G DATA WFP CD;c:\windows\system32\drivers\gdwfpcd64.sys [2010-10-30 48584]
S1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2010-10-30 106224]
S1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2010-10-30 49096]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS [2010-02-17 14920]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS [2010-02-17 12360]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [2010-06-29 128752]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 334344]
S2 AVKProxy;G Data AntiVirus Proxy;c:\program files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe [2010-08-27 1178184]
S2 AVKService;G Data Scheduler;c:\program files (x86)\G DATA\InternetSecurity\AVK\AVKService.exe [2010-03-31 410696]
S2 AVKWCtl;G Data Dateisystem Wächter;c:\program files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlX64.exe [2010-08-25 1865344]
S3 GDFwSvc;G Data Personal Firewall;c:\program files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe [2010-08-25 1718608]
S3 GDPkIcpt;GDPkIcpt;c:\windows\system32\drivers\PktIcpt.sys [2010-10-30 57288]
S3 GDScan;G Data Scanner;c:\program files (x86)\Common Files\G DATA\GDScan\GDScan.exe [2010-08-25 340552]
S3 lvpepf64;Volume Adapter;c:\windows\system32\DRIVERS\lv302a64.sys [2007-05-09 16032]
S3 LVUSBS64;Logitech USB Monitor Filter;c:\windows\system32\drivers\LVUSBS64.sys [2007-05-09 50208]
S3 yukonx64;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk60x64.sys [2006-10-04 273408]

.
Inhalt des "geplante Tasks" Ordners

2010-12-17 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files (x86)\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	97792	----a-w-	c:\users\Martin\AppData\Roaming\Dropbox\bin\DropboxExt64.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	97792	----a-w-	c:\users\Martin\AppData\Roaming\Dropbox\bin\DropboxExt64.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	97792	----a-w-	c:\users\Martin\AppData\Roaming\Dropbox\bin\DropboxExt64.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="%ProgramFiles%\Windows Defender\MSASCui.exe -hide" [X]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2008-10-13 6566432]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2008-10-13 1833504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\users\Martin\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\u6q1mxgz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\program files (x86)\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: FireFTP: {a7c6cf7f-112c-4500-a7ea-39801a327e5f} - %profile%\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3576276082-562666063-3587878549-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:bc,d5,51,83,33,47,c3,39,d0,6c,71,72,0e,09,d7,a3,f1,b9,a1,05,19,01,8e,
   f0,fd,b1,bc,50,7f,62,f4,25,21,75,77,f9,3e,8b,32,dd,c1,11,53,fb,12,7c,62,48,\
"??"=hex:f9,d0,78,e8,94,0c,dd,af,96,3b,ee,e7,f5,4e,66,a9

[HKEY_USERS\S-1-5-21-3576276082-562666063-3587878549-1003\Software\SecuROM\License information*]
"datasecu"=hex:e5,45,7e,b3,e5,f4,ec,d4,21,9f,d0,57,0a,75,e1,61,df,e2,79,4b,5b,
   1e,49,d1,e3,23,cd,5d,92,62,c3,02,c4,d7,ce,af,43,b0,49,88,06,3e,9c,d8,0f,ec,\
"rkeysecu"=hex:23,1b,7b,74,6b,4d,06,b0,63,a9,69,65,e9,64,93,16

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-12-17  11:30:02
ComboFix-quarantined-files.txt  2010-12-17 10:30

Vor Suchlauf: 12 Verzeichnis(se), 48.175.202.304 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 48.078.024.704 Bytes frei

- - End Of File - - 1F0E6284E5E26C2B677541E20820145D
         

--- --- ---

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ok, anbei der Inhalt:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 64-bit
Base Board Manufacturer: hxxp://www.abit.com.tw/
BIOS Manufacturer: Phoenix Technologies, LTD
System Manufacturer: .
System Product Name: .
Logical Drives Mask: 0x0000083c

Kernel Drivers (total 152):
0x02A09000 \SystemRoot\system32\ntoskrnl.exe
0x02F20000 \SystemRoot\system32\hal.dll
0x00605000 \SystemRoot\system32\kdcom.dll
0x0060F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x0064A000 \SystemRoot\system32\PSHED.dll
0x0065E000 \SystemRoot\system32\CLFS.SYS
0x006BB000 \SystemRoot\system32\CI.dll
0x00802000 \SystemRoot\system32\drivers\Wdf01000.sys
0x008DC000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00A02000 \SystemRoot\System32\Drivers\spok.sys
0x00B28000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x00B31000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x00B5F000 \SystemRoot\system32\drivers\acpi.sys
0x00BB5000 \SystemRoot\system32\drivers\msisadrv.sys
0x00BBF000 \SystemRoot\system32\drivers\pci.sys
0x008EA000 \SystemRoot\System32\drivers\partmgr.sys
0x008FF000 \SystemRoot\system32\drivers\volmgr.sys
0x00913000 \SystemRoot\System32\drivers\volmgrx.sys
0x00BEF000 \SystemRoot\system32\drivers\pciide.sys
0x00979000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x00989000 \SystemRoot\System32\drivers\mountmgr.sys
0x00BF6000 \SystemRoot\system32\drivers\atapi.sys
0x0099C000 \SystemRoot\system32\drivers\ataport.SYS
0x0076D000 \SystemRoot\system32\drivers\fltmgr.sys
0x009C0000 \SystemRoot\system32\drivers\fileinfo.sys
0x00C04000 \SystemRoot\System32\Drivers\ksecdd.sys
0x00E0D000 \SystemRoot\system32\drivers\ndis.sys
0x00C8B000 \SystemRoot\system32\drivers\msrpc.sys
0x00CDB000 \SystemRoot\system32\drivers\NETIO.SYS
0x01008000 \SystemRoot\System32\drivers\tcpip.sys
0x0117E000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x0120A000 \SystemRoot\System32\Drivers\Ntfs.sys
0x0138A000 \SystemRoot\system32\drivers\volsnap.sys
0x013CE000 \SystemRoot\System32\Drivers\spldr.sys
0x013D6000 \SystemRoot\System32\Drivers\mup.sys
0x013E8000 \SystemRoot\system32\drivers\GDBehave.sys
0x011AA000 \SystemRoot\System32\drivers\ecache.sys
0x011D6000 \SystemRoot\system32\drivers\disk.sys
0x00FD0000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x01200000 \SystemRoot\system32\drivers\crcdisk.sys
0x00D5B000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x00D68000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x00D71000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x02807000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x03499000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x0349B000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x0357E000 \SystemRoot\System32\drivers\watchdog.sys
0x0358E000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x0359A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x035E0000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x0240B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x024F8000 \SystemRoot\system32\DRIVERS\yk60x64.sys
0x0253F000 \SystemRoot\system32\DRIVERS\fdc.sys
0x0254C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x02568000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0x02571000 \SystemRoot\System32\Drivers\aq9xirp3.SYS
0x025B6000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x00D84000 \SystemRoot\system32\DRIVERS\storport.sys
0x025EF000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x00D34000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x035F1000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x007B4000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x00DE1000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x009D4000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x007E5000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x0360C000 \SystemRoot\system32\DRIVERS\termdd.sys
0x0361F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x0362D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x03639000 \SystemRoot\system32\DRIVERS\swenum.sys
0x0363B000 \SystemRoot\system32\DRIVERS\ks.sys
0x0366F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x0367A000 \SystemRoot\system32\DRIVERS\umbus.sys
0x0368A000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x036D2000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x0400E000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x0417D000 \SystemRoot\system32\drivers\portcls.sys
0x041B8000 \SystemRoot\system32\drivers\drmk.sys
0x041DB000 \SystemRoot\system32\drivers\ksthunk.sys
0x041E1000 \??\C:\Windows\system32\drivers\MiniIcpt.sys
0x036F3000 \??\C:\Windows\system32\drivers\HookCentre.sys
0x04000000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x03704000 \SystemRoot\System32\Drivers\Null.SYS
0x03718000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x03720000 \SystemRoot\System32\drivers\vga.sys
0x0372E000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x03753000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x0375C000 \SystemRoot\system32\drivers\rdpencdd.sys
0x03765000 \SystemRoot\System32\Drivers\Msfs.SYS
0x03770000 \SystemRoot\System32\Drivers\Npfs.SYS
0x03781000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x0378A000 \SystemRoot\system32\DRIVERS\tdx.sys
0x037A7000 \SystemRoot\system32\DRIVERS\smb.sys
0x04204000 \SystemRoot\system32\drivers\afd.sys
0x0426F000 \SystemRoot\System32\DRIVERS\netbt.sys
0x042B3000 \SystemRoot\system32\DRIVERS\pacer.sys
0x042D1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x042E0000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x042FC000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x042FE000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x04319000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS
0x04323000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS
0x0432D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x0437A000 \SystemRoot\system32\drivers\nsiproxy.sys
0x04386000 \??\C:\Windows\system32\drivers\GRD.sys
0x043A5000 \SystemRoot\system32\drivers\gdwfpcd64.sys
0x043B5000 \SystemRoot\System32\Drivers\dfsc.sys
0x043D2000 \SystemRoot\system32\drivers\LVUSBS64.sys
0x04407000 \SystemRoot\system32\DRIVERS\LV302V64.SYS
0x04519000 \SystemRoot\system32\DRIVERS\lv302a64.sys
0x0451C000 \SystemRoot\system32\drivers\usbaudio.sys
0x04535000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x0453E000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x04550000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x0455B000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x04566000 \SystemRoot\System32\Drivers\crashdmp.sys
0x04574000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x04580000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x000A0000 \SystemRoot\System32\win32k.sys
0x04588000 \SystemRoot\System32\drivers\Dxapi.sys
0x04594000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00420000 \SystemRoot\System32\TSDDD.dll
0x006A0000 \SystemRoot\System32\cdd.dll
0x00800000 \SystemRoot\System32\ATMFD.DLL
0x045A7000 \SystemRoot\system32\drivers\luafv.sys
0x08407000 \SystemRoot\system32\drivers\spsys.sys
0x084A1000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x084B5000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x084E9000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x084F4000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0850C000 \SystemRoot\system32\drivers\HTTP.sys
0x085AF000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x085D8000 \SystemRoot\system32\DRIVERS\bowser.sys
0x045C9000 \SystemRoot\System32\drivers\mpsdrv.sys
0x037C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x08804000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x0884D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x0886C000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0889E000 \SystemRoot\System32\DRIVERS\srv.sys
0x08932000 \??\C:\Windows\system32\drivers\acedrv11.sys
0x08988000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x089D7000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x09000000 \SystemRoot\system32\drivers\peauth.sys
0x090B6000 \SystemRoot\System32\Drivers\secdrv.SYS
0x090C1000 \SystemRoot\System32\drivers\tcpipreg.sys
0x090D1000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x090DC000 \??\C:\Windows\system32\drivers\PktIcpt.sys
0x090EF000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x0910B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x09123000 \SystemRoot\System32\Drivers\fastfat.SYS
0x09158000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x09178000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x77350000 \Windows\System32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
440 C:\Windows\System32\smss.exe
508 csrss.exe
560 C:\Windows\System32\wininit.exe
580 csrss.exe
616 C:\Windows\System32\services.exe
632 C:\Windows\System32\lsass.exe
640 C:\Windows\System32\lsm.exe
720 C:\Windows\System32\winlogon.exe
828 C:\Windows\System32\svchost.exe
872 C:\Windows\System32\nvvsvc.exe
900 C:\Windows\System32\svchost.exe
960 C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe
972 C:\Windows\System32\svchost.exe
1008 C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlX64.exe
304 C:\Windows\System32\svchost.exe
380 C:\Windows\System32\svchost.exe
460 C:\Windows\System32\svchost.exe
980 C:\Windows\System32\audiodg.exe
836 C:\Windows\System32\svchost.exe
1040 C:\Windows\System32\SLsvc.exe
1076 C:\Windows\System32\svchost.exe
1212 C:\Windows\System32\svchost.exe
1452 C:\Windows\System32\spoolsv.exe
1476 C:\Windows\System32\svchost.exe
1672 C:\Program Files\SUPERAntiSpyware\SASCore64.exe
1716 C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe
1732 C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKService.exe
1788 C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
1908 C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
2032 C:\Windows\System32\svchost.exe
1168 C:\Windows\System32\svchost.exe
1336 C:\Windows\System32\TUProgSt.exe
1560 C:\Windows\System32\svchost.exe
1980 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
2072 C:\Windows\System32\SearchIndexer.exe
2436 C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe
2544 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
2804 C:\Windows\System32\taskeng.exe
2152 C:\Windows\System32\nvvsvc.exe
892 AvkBap64.exe
3536 C:\Windows\System32\dwm.exe
3584 C:\Windows\explorer.exe
3616 C:\Windows\System32\taskeng.exe
2236 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
1068 C:\Program Files\Windows Sidebar\sidebar.exe
928 C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
3452 C:\Users\Martin\AppData\Roaming\Dropbox\bin\Dropbox.exe
3608 C:\Program Files (x86)\G DATA\InternetSecurity\AVKTray\AVKTray.exe
3416 C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
4780 C:\Program Files\Windows Sidebar\sidebar.exe
5508 C:\Program Files (x86)\ICQ6.5\ICQ.exe
4084 C:\Windows\splwow64.exe
3472 WUDFHost.exe
4464 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
3428 C:\Windows\System32\SearchProtocolHost.exe
1048 C:\Windows\System32\SearchFilterHost.exe
5816 C:\Windows\SysWOW64\conime.exe
4420 C:\Users\Martin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)
\\.\L: --> \\.\PhysicalDrive0 at offset 0x0000007d`81400000 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD103UJ, Rev: 1AA01113

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Besten Dank.

Kurze Frage noch. Was soll ich mit den zwei infizierten Dateien in der Super Antispyware Quarantäne machen?
Das waren die folgenden Dateien:

* (4) Trojan.Vundo-Variant/F in C:\Windows\Syswow64\avsredirect.dll

* (5) Trojan.Vundo-Variant/F in C:\Users\***\Appdata\Roaming\Microsoft\Windows\Recent\avsredirect.lnk

Kann ich die Löschen? Soll ich sie in der Quarantäne lassen?

Zitat:

Kann ich die Löschen? Soll ich sie in der Quarantäne lassen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Hi Arne,

so 100% sicher bin ich mir nicht, was die Quarantäne macht. Ich würde aber aus deinem Post rauslesen, dass ich die Dateien einfach drin lassen soll...
Was meinst du genau mit "Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen" ... auf was hat das keine Auswirkungen?


Anbei noch die Logs von Malwarebytes:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5342

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18999

17.12.2010 17:01:49
mbam-log-2010-12-17 (17-01-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|L:\|)
Durchsuchte Objekte: 470800
Laufzeit: 47 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und Super Antivirus:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/17/2010 at 07:23 PM

Application Version : 4.47.1000

Core Rules Database Version : 6018
Trace Rules Database Version: 3830

Scan type : Complete Scan
Total Scan Time : 02:17:28

Memory items scanned : 276
Memory threats detected : 0
Registry items scanned : 14398
Registry threats detected : 0
File items scanned : 327629
File threats detected : 1

Adware.Tracking Cookie
C:\Users\Martin\AppData\Roaming\Microsoft\Windows\Cookies\martin@atwola[1].txt

Sieht alles jetzt sauber aus?

LG Martin

Zitat:

... auf was hat das keine Auswirkungen?

Auf das System! Die Datei ist dort isoliert, es ist im Grunde egal ob die Datei isoliert oder gelöscht wird! Nur falls man eine Datei wiederhaben will, wäre es äußerst blöd sofort alle angemeckerten Dateien zu löschen (Virenscanner melden auch Schädlinge die gar nicht da sind => Fehlalarme)

Es wurde nur ein Cookie gefunden, noch Probleme oder ist nun alles paletti?

Hi Arne,

da keine weiteren Schädlinge angezeigt wurden, gehe ich davon aus, dass alles paletti ist. Weitere Probleme mit meinem Rechner habe ich im moment nicht. :-)

Du hast mir echt super geholfen, also noch mal vielen Dank für die umfangreiche Hilfe, die Erklärung der Quarantäne und die Reinigung meines Systems!!!!

Beste Grüße, Frohe Weihnachten und nen guten Rutsch ins neue Jahr.

LG Martin