Hallo zusammen,

habe ein Problem mit Trojanerbefall am PC seit November, der aber keine erkennbaren Auswirkungen zeigt. Kurzer Ablauf der Vorkommnisse:
Der PC wird von einem Blinden mittels Screenreader bedient, ich bin nur eine Hilfe, die aber keine Erfahrungen im Bekämpfen von Viren und Trojaner hat.
Befall des Rechners im November vermutlich durch eine infizierte Datei, die von einem USBStick aktiv in den Rechner kopiert und geöffnet wurde. Danach Rechnerabsturz, Netzstecker trennen und neu Hochfahren zeigte keinerlei Auswirkungen. Erst ein Avira Systemscan einige Tage später fand dann den Trojaner TR/Inject.117248.
Anhang 11906

Von Avira repariert und da kein Erfahrungen das Problem für erledigt gehalten, da auch ein Scan von Outpostfirewall nichts fand ( mein Fehler ). Eine Woche später bei Systemscan anderen Trojaner TR/Sasfis.awel gefunden und ebenfalls von Avira repariert( w.g. Zeitmangel ).
Anhang 11907

Der gleiche Typ TR/Sasfis.awel wurde dann nochmal am 24. 12. gefunden.
Anhang 11908

Danach Durchlauf von Malewarebytes mit folgendem Ergebnis.
Anhang 11911

Und am 26.12. mit Avira 10 und euren Avira Einstellungstipps noch Fund von TR/Trash.Gen.Zwei Logs wegen Avira Bedienungsfehler.
Anhang 11909

Anhang 11910

Und heute noch bei Scan mit SUPERAntiSpyware Fund von Trojan.WinCommDownloader.
Anhang 11905

Aktuelle Scans von Avira und Malwarebytes zeigen keinen Befall mehr an.
Hier Die aktuellen OTL-logs
Anhang 11903

Anhang 11904

Wäre nett wenn mir jemand helfen könnte, ob PC noch infiziert ist und welche Auswirkungen die gefunden Trojaner haben könnten.


gruß finn

Hallo, heute sehe ich gerade, dass ich die Logfiles nur als Links hochgeladen habe, sorry aber dies ist mein erster Blog ever. Also nun die Avirafunde:
am 20.11.
C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP416\A0133992.exe
[FUND] Ist das Trojanische Pferd TR/Inject.117248

am 28.11.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.awel

am 24.12.
C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP426\A0135765.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.awel

und schließlich mit anderen Einstellungenen am 26.12.
C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP1\A0000025.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Der Fund von SUPERAntiSpyware am 27.12. ist
Trojan.WinCommDownloader
C:\&NTW00\WINCOMM.EXE
C:\&SAVE\&NTW00\WINCOMM.EXE

die logs von Malewarebytes und OTL hänge ich per zipfiles an
ich hoffe dass die Darstellung nun stimmt

viele Dank im voraus und
gruß finn

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

hallo und vielen Dank für dein Hilfsangebot

hier kommt nun das aktuelle Malewarebyteslog

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5417

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.12.2010 19:11:00
mbam-log-2010-12-29 (19-11-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146126
Laufzeit: 3 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und dies ist das Logfile mit den Funden vom 25.12.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5392

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.12.2010 19:05:56
mbam-log-2010-12-25 (19-05-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145778
Laufzeit: 3 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SkyNetU2BDA (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\drivers\skynetu2bda.sys (Rootkit.TDSS) -> No action taken.

dazwischen habe ich noch einige Scans mit Malewarebytes und Avira gemacht, die aber alle ohne einen Fund waren.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (SKYNET) -- C:\WINDOWS\System32\DRIVERS\SkyNET.SYS File not found
DRV - (SetupNTGLM7X) -- E:\NTGLM7X.sys File not found
DRV - (NTACCESS) -- E:\NTACCESS.sys File not found
DRV - (MSICPL) -- E:\install4\MSICPL.sys File not found
DRV - (GT681x) -- C:\WINDOWS\System32\DRIVERS\GT681x.SYS File not found
DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found
[2010.12.26 20:29:09 | 002,000,000 | ---- | M] () -- C:\WINDOWS\System32\HJSMEM.DAT
[2010.12.26 20:29:07 | 000,000,219 | ---- | M] () -- C:\WINDOWS\System32\wtecht7.tgz
[2010.12.26 20:29:07 | 000,000,205 | ---- | M] () -- C:\WINDOWS\System32\wtecht7.dll
[2010.12.26 20:29:07 | 000,000,087 | ---- | M] () -- C:\WINDOWS\System32\ssprs.tgz
[2010.12.26 20:29:07 | 000,000,073 | ---- | M] () -- C:\WINDOWS\System32\ssprs.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,
hier ist das gewünschte OTL-log

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Service SKYNET stopped successfully!
Service SKYNET deleted successfully!
File  C:\WINDOWS\System32\DRIVERS\SkyNET.SYS File not found not found.
Service SetupNTGLM7X stopped successfully!
Service SetupNTGLM7X deleted successfully!
File  E:\NTGLM7X.sys File not found not found.
Service NTACCESS stopped successfully!
Service NTACCESS deleted successfully!
File  E:\NTACCESS.sys File not found not found.
Service MSICPL stopped successfully!
Service MSICPL deleted successfully!
File  E:\install4\MSICPL.sys File not found not found.
Service GT681x stopped successfully!
Service GT681x deleted successfully!
File  C:\WINDOWS\System32\DRIVERS\GT681x.SYS File not found not found.
Service GMSIPCI stopped successfully!
Service GMSIPCI deleted successfully!
File  E:\INSTALL\GMSIPCI.SYS File not found not found.
C:\WINDOWS\system32\HJSMEM.DAT moved successfully.
C:\WINDOWS\system32\wtecht7.tgz moved successfully.
C:\WINDOWS\system32\wtecht7.dll moved successfully.
C:\WINDOWS\system32\ssprs.tgz moved successfully.
C:\WINDOWS\system32\ssprs.dll moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Heinz Kuhn
->Temp folder emptied: 1458045123 bytes
->Temporary Internet Files folder emptied: 22508642 bytes
->Java cache emptied: 43768398 bytes
->FireFox cache emptied: 57363973 bytes
->Flash cache emptied: 638 bytes
 
User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 16848921 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33857725 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.557,00 mb
 
 
OTL by OldTimer - Version 3.2.18.0 log created on 12292010_213329

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,
ich habe ComboFix nach deiner Anleitung durchgeführt, also zuerst mit CCleaner das System bereinigt,
dann Avira und die Outpostfirewall deaktiviert, sowie alle anderen Programme im PC geschlossen und ComboFix gestartet. Dann alle ComboFixfenster mit JA bestätigt und als der Suchlauf startete habe ich den PC verlassen.

ABER als ich nach ca. 20 min zurück kam, war die Outpostfirewall schon wieder aktiv und hat den Combofix angehalten bevor das Logfile da war, also mit dem Bildschirmtext

Bereite Logdatei vor.
Starte keine anderen Programme, bevor ComboFix fertig ist.


dann habe ich ca. 20 Meldungen der Firewall zulassen müssen bis ComboFix zu Ende lief und die folgende Logdatei als Ergebnis präsentierte

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-12-29.01 - xxx 29.12.2010  23:04:28.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1558 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Outpost Firewall Pro *Disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winsusrm.dll
c:\windows\system32\winsusrx.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-29  ))))))))))))))))))))))))))))))
.

2010-12-29 12:37 . 2010-12-29 12:37	388096	----a-r-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-29 12:37 . 2010-12-29 12:37	--------	d-----w-	c:\programme\Trend Micro
2010-12-27 10:33 . 2010-12-27 10:33	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com
2010-12-27 10:33 . 2010-12-27 10:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-12-27 10:32 . 2010-12-27 10:33	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-12-26 09:34 . 2010-12-29 16:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-12-25 19:39 . 2010-12-25 19:39	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Avira
2010-12-25 19:24 . 2010-12-25 19:24	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-12-25 19:01 . 2010-12-25 19:01	--------	d-----w-	c:\programme\7-Zip
2010-12-25 18:31 . 2010-12-29 21:53	--------	d-----w-	c:\programme\CCleaner
2010-12-25 17:56 . 2010-12-25 17:56	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-12-25 17:56 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-25 17:56 . 2010-12-25 17:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-25 17:56 . 2010-12-25 18:05	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-25 17:56 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-25 14:16 . 2010-12-25 14:16	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2010-12-23 22:12 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-23 22:11 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-13 07:39 . 2009-12-23 09:15	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-13 07:39 . 2009-12-23 09:15	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2007-03-28 10:36	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2006-02-28 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2006-02-28 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2006-02-28 12:00	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-02-28 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-02-28 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-02-28 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-24 12:28 . 2010-10-24 12:28	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-10-24 12:28 . 2010-05-02 08:19	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-10-11 08:35 . 2010-05-02 09:42	710576	----a-w-	c:\windows\system32\drivers\SandBox.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-10-15 39408]
"Prngdi"="c:\dokumente und einstellungen\xxx\Anwendungsdaten\Adobe\Update\bltinx.exe" [2010-10-26 4]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
"Gtwatch"="c:\windows\gtwatch.exe" [2001-08-24 45056]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 1189920]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 1962896]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-10-17 87584]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"OutpostFeedBack"="c:\programme\Agnitum\Outpost Firewall Pro\feedback.exe" [2010-10-21 491272]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2010-10-21 2841448]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Server4PC.lnk - c:\programme\TechniSat DVB\bin\Server4PC.exe [2009-12-29 338448]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 

R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [02.05.2010 10:42 710576]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [02.05.2010 10:41 2035000]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 10:15 135336]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [02.05.2010 10:41 34280]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [02.05.2010 10:42 267624]
R3 SKYNETU2;TechniSat DVB-PC TV Star USB 2;c:\windows\system32\drivers\SkyNETU2.sys [28.12.2009 21:37 420880]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [15.10.2010 16:15 136176]
S3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [02.05.2010 10:42 72232]
S3 JTVNCProxy_10.0;JTVNCProxy;c:\programme\Freedom Scientific\JAWS\10.0\JTVNCProxy.exe [10.11.2009 09:35 16152]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [28.02.2006 13:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners

2010-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-15 15:14]

2010-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-15 15:14]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\dng1bbxf.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: Adblock Plus Pop-up Addon: adblockpopups@jessehakanen.net - %profile%\extensions\adblockpopups@jessehakanen.net
FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-29 23:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1748)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(4088)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-29  23:22:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-29 22:22

Vor Suchlauf: 16 Verzeichnis(se), 106.298.908.672 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 106.107.174.912 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 2D9C5A781400BDB061CF1151B2C9AC5E
         

Unter dem was ich wieder zugelassen habe, könnten u.a. auch einige der Registrierungsschlüssel im obigen Logtext gewesen sein.
Ich weiß nicht, ob ich nicht irgendeinen Hintergrundwächter übersehen habe.

Ich hoffe du kannst mit diesen Infos etwas anfangen, bis bald

Zitat:

ABER als ich nach ca. 20 min zurück kam, war die Outpostfirewall

Die OOutpostfirewall ist eh Unsinn und kontraproduktiv. Deinstallieren und Windows-Firewall aktivieren!
Sag Bescheid wenn das erledigt ist.

Hallo Arne,

Agnitum Outpostfirewall ist nun deinstalliert und die Windowsfirewall aktiviert.
Die Konfiguration mit Avira + Outpostfirewall entspricht dem Auslieferungszustand des PC, der von dem Unternehmen, das die Blindenspezialprogramme vertreibt aufgebaut wurde. Sie wurde nur im Oktober wegen des Auslaufens der Lizenz neu im Rechner von mir installiert.

Eine Frage hätte ich aber noch, müssen vor der Benutzung von ComboFix vielleicht auch die per USB angeschlossenen Geräte vor allen Dingen die SAT-TV-Karte und/oder der Scanner vom PC entfernt werden?

Und soll ich eventuell die IOMEGA - Medienfestplatte im Scann von ComboFix mitlaufen lassen? Sie war gestern abgeschaltet, da alle Scans die ich bisher mit angeschlossener USB-Platte durchführte kein Fundergebnis hatten.

Die Geräte können dran sein, müssen aber nicht.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Eine kurze Nachfrage vor der Ausführung von GMER; sollen nun doch alle USB-Verbindungen und der Router getrennt werden oder reicht es aus nur die Programme zu beenden?

Programme beenden reicht

hier kommen nun die Ergebnisse von

GMER

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-30 14:08:48
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP2504C rev.VT100-50
Running: vvi5ll0v.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pxtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            B8671D16                                                            ZwCreateKey
SSDT            B8671D0C                                                            ZwCreateThread
SSDT            B8671D1B                                                            ZwDeleteKey
SSDT            B8671D25                                                            ZwDeleteValueKey
SSDT            B8671D2A                                                            ZwLoadKey
SSDT            B8671CF8                                                            ZwOpenProcess
SSDT            B8671CFD                                                            ZwOpenThread
SSDT            B8671D34                                                            ZwReplaceKey
SSDT            B8671D2F                                                            ZwRestoreKey
SSDT            B8671D20                                                            ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                            section is writeable [0xB72D13A0, 0x59FFE5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[2156] kernel32.dll!WriteFile  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                              snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                              snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                              snapman.sys (Acronis Snapshot API/Acronis)

---- EOF - GMER 1.0.15 ----
         

von OSAM

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:32:29 on 30.12.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"CplMCDec.cpl" - "MainConcept AG" - C:\WINDOWS\system32\CplMCDec.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"CplMCDec" - "MainConcept AG" - C:\WINDOWS\System32\CplMCDec.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BrPar" (BrPar) - "Brother Industries Ltd." - C:\WINDOWS\System32\drivers\BrPar.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
"SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
"Sentinel" (Sentinel) - "SafeNet, Inc." - C:\WINDOWS\System32\Drivers\SENTINEL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TechniSat DVB-PC TV Star USB 2" (SKYNETU2) - "TechniSat Digital, S.A." - C:\WINDOWS\System32\DRIVERS\SkyNETU2.SYS
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - C:\Programme\SUPERAntiSpyware\SASSEH.DLL
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} "Office Genuine Advantage Validation Tool" - ? - C:\WINDOWS\system32\OGACheckControl.DLL / hxxp://go.microsoft.com/fwlink/?linkid=58813
{C7DB51B4-BCF7-4923-8874-7F1A0DC92277} "Office Update Installation Engine" - "Microsoft Corporation" - C:\WINDOWS\opuc.dll / hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} "&klickTel Toolbar" - "klickTel AG" - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} "metaspinner media GmbH" - ? - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL  (File found, but it contains no detailed information)
{FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} "{FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD}" - "klickTel AG" - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Server4PC.lnk" - "TechniSat Digital, S.A." - C:\Programme\TechniSat DVB\bin\Server4PC.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Prngdi" - ? - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\bltinx.exe
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"AcronisTimounterMonitor" - "Acronis" - C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"Gtwatch" - ? - C:\WINDOWS\gtwatch.exe  (File found, but it contains no detailed information)
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TrueImageMonitor.exe" - "Acronis" - C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Canon BJ Language Monitor i865" - "CANON INC." - C:\WINDOWS\system32\CNMLM5m.DLL
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"JTVNCProxy" (JTVNCProxy_10.0) - ? - C:\Programme\Freedom Scientific\JAWS\10.0\JTVNCProxy.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"!SASWinLogon" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

und von MBRcheck

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000077d

Kernel Drivers (total 122):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xB85A8000 \WINDOWS\system32\KDCOM.DLL
  0xB84B8000 \WINDOWS\system32\BOOTVID.dll
  0xB7F78000 ACPI.sys
  0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB7F67000 pci.sys
  0xB80A8000 isapnp.sys
  0xB8670000 pciide.sys
  0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB85AC000 viaide.sys
  0xB80B8000 MountMgr.sys
  0xB7F48000 ftdisk.sys
  0xB8330000 PartMgr.sys
  0xB80C8000 VolSnap.sys
  0xB7F30000 atapi.sys
  0xB80D8000 disk.sys
  0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB7F10000 fltmgr.sys
  0xB7EFE000 sr.sys
  0xB7EE7000 KSecDD.sys
  0xB7ED4000 WudfPf.sys
  0xB7E47000 Ntfs.sys
  0xB7E1A000 NDIS.sys
  0xB7DBB000 timntr.sys
  0xB7DA0000 snapman.sys
  0xB7D86000 Mup.sys
  0xB80F8000 gagp30kx.sys
  0xB8278000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xB72D1000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB72BD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8288000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB8298000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB82A8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB729A000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB83F0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB7276000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xB83F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB82B8000 \SystemRoot\system32\DRIVERS\fetnd5b.sys
  0xB724E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB8400000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB82C8000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB7D3A000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB723A000 \SystemRoot\system32\DRIVERS\parport.sys
  0xB82D8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xB8408000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB8410000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB876D000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB82E8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB7D36000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB7223000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB82F8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB8308000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB8418000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB7212000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB8318000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xB8420000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xB8428000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB8128000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xB85CA000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB71B4000 \SystemRoot\system32\DRIVERS\update.sys
  0xB7D26000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB8138000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB8148000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB85D0000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB4BB6000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB4B92000 \SystemRoot\system32\drivers\portcls.sys
  0xB8158000 \SystemRoot\system32\drivers\drmk.sys
  0xB8438000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xB85D4000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB87D8000 \SystemRoot\System32\Drivers\Null.SYS
  0xB85D6000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB8448000 \SystemRoot\System32\drivers\vga.sys
  0xB85D8000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xB85DA000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB8450000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB8458000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB8590000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB4B37000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB4ADE000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB4AB6000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB4A90000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB8178000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB4A6E000 \SystemRoot\System32\drivers\afd.sys
  0xB8188000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB8460000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xB8468000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB4A24000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
  0xB8470000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
  0xB49F9000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB4989000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB81A8000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB4963000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xB85DE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB7D5A000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0xB48FA000 \SystemRoot\system32\DRIVERS\SkyNETU2.SYS
  0xB8478000 \SystemRoot\system32\DRIVERS\NCGEN.SYS
  0xB7D56000 \SystemRoot\system32\DRIVERS\NCREMOTEPCI.SYS
  0xB8480000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xB81C8000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB486A000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xB85EE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB48DA000 \SystemRoot\System32\drivers\Dxapi.sys
  0xB8490000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xB8747000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\JAWSVID.dll
  0xBD049000 \SystemRoot\System32\dcmc0d0.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB4694000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB8498000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
  0xB467C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB4347000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB430A000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB460C000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB83C0000 \SystemRoot\System32\drivers\BrPar.sys
  0xB85C8000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB3F0D000 \SystemRoot\System32\Drivers\SENTINEL.SYS
  0xB3DC5000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB3722000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 46):
       0 System Idle Process
       4 System
     628 C:\WINDOWS\system32\smss.exe
    1036 csrss.exe
    1060 C:\WINDOWS\system32\winlogon.exe
    1104 C:\WINDOWS\system32\services.exe
    1116 C:\WINDOWS\system32\lsass.exe
    1312 C:\WINDOWS\system32\nvsvc32.exe
    1352 C:\WINDOWS\system32\svchost.exe
    1444 svchost.exe
    1740 C:\WINDOWS\system32\svchost.exe
    1776 C:\WINDOWS\system32\svchost.exe
    1916 svchost.exe
     304 svchost.exe
     540 C:\WINDOWS\system32\spoolsv.exe
     588 C:\Programme\Avira\AntiVir Desktop\sched.exe
     720 svchost.exe
    1652 C:\WINDOWS\explorer.exe
    1412 C:\WINDOWS\RTHDCPL.EXE
    1892 C:\WINDOWS\Gtwatch.exe
    1900 C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
    1908 C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
    1932 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    1964 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2016 C:\WINDOWS\system32\rundll32.exe
    2028 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
     272 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
     392 C:\WINDOWS\system32\ctfmon.exe
     508 C:\Programme\TechniSat DVB\bin\Server4PC.exe
     776 C:\Programme\TechniSat DVB\bin\Server4PC.exe
    1260 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    1344 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1552 C:\Programme\Java\jre6\bin\jqs.exe
     256 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    2120 C:\WINDOWS\system32\svchost.exe
    2392 C:\WINDOWS\system32\searchindexer.exe
    2600 C:\WINDOWS\system32\wuauclt.exe
    2616 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2868 C:\WINDOWS\system32\wscntfy.exe
    3672 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    4048 alg.exe
     596 wmiprvse.exe
    3432 C:\Programme\Mozilla Firefox\firefox.exe
     340 C:\WINDOWS\system32\searchprotocolhost.exe
     756 searchfilterhost.exe
    1672 C:\Dokumente und Einstellungen\xxx\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`1c844200  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-50

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!
         

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Also beide Vollscans waren ohne Funde!

hier Malewarebytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5422

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.12.2010 16:24:56
mbam-log-2010-12-30 (16-24-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|H:\|)
Durchsuchte Objekte: 201851
Laufzeit: 25 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

und hier Superantispyware

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 12/30/2010 bei 05:37 PM

Version der Applikation : 4.47.1000

Version der Kern-Datenbank : 6099
Version der Spur-Datenbank : 3912

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:03:22

Gescannte Speicherelemente  : 492
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 6466
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 59582
Erfasste Datei-Elemente   : 0