TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe gefunden - Hilfe

AleZZa · 19.01.2011, 13:09

Moin moin,

ich habe heute morgen mal in die Quarantäne meines Antivir geschaut und habe mehrmals den "TR/Crypt.XPACK.Gen3" gefunden in verschiedenen Dateien sowie weitere Viren.

Ich hab dann direkt erstmal einen Scan mit Antivir durchgeführt, mir danach die Load.exe geladen und nach der Anleitung alles abgearbeitet. Alle Logfiles hab ich gepackt und hier angehängt. Habe zuvor auch nach den Viren/Trojaner gegooglet, aber ich muss ehrlich sagen, dass ich die nicht auf eigene Faust ohne professionelle Hilfe entfernen möchte, da ich über kaum Hintergrundwissen diesbezüglich verfüge und die Angst groß ist das ich mehr kaputt mache als wieder heil. Vielleicht könnt ihr mir helfen?

Hier die Funde:
Qurantäne.txt

Code:

ATTFilter

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\1edd778e-6a1982bc
Status:	Infiziert
Quarantäne-Objekt:	4f480a6b.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.148
Virendefinitionsdatei:	7.11.01.174
Meldung:	Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
Datum/Uhrzeit:	19.01.2011, 07:58

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\Cache\E119A189d01
Status:	Infiziert
Quarantäne-Objekt:	57a1d677.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.140
Virendefinitionsdatei:	7.11.01.147
Meldung:	Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.30510
Datum/Uhrzeit:	17.01.2011, 15:56

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\Cache\E119A189d01
Status:	Infiziert
Quarantäne-Objekt:	4f36f9c8.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.140
Virendefinitionsdatei:	7.11.01.147
Meldung:	Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.30510
Datum/Uhrzeit:	17.01.2011, 15:56

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\Cache\84033112d01
Status:	Infiziert
Quarantäne-Objekt:	578b353e.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.140
Virendefinitionsdatei:	7.11.01.111
Meldung:	Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Redirector.CF
Datum/Uhrzeit:	14.01.2011, 03:58

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\Cache\84033112d01
Status:	Infiziert
Quarantäne-Objekt:	4f1c1a81.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.140
Virendefinitionsdatei:	7.11.01.111
Meldung:	Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Redirector.CF
Datum/Uhrzeit:	14.01.2011, 03:58

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe
Status:	Infiziert
Quarantäne-Objekt:	57793cc0.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.126
Virendefinitionsdatei:	7.11.00.114
Meldung:	Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
Datum/Uhrzeit:	23.12.2010, 03:19

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe
Status:	Infiziert
Quarantäne-Objekt:	4fee137f.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.126
Virendefinitionsdatei:	7.11.00.114
Meldung:	Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
Datum/Uhrzeit:	23.12.2010, 03:19

Typ:	Datei
Quelle:	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\Cache\696B75B2d01
Status:	Infiziert
Quarantäne-Objekt:	4fce15fa.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.126
Virendefinitionsdatei:	7.11.00.114
Meldung:	Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
Datum/Uhrzeit:	23.12.2010, 03:17

weitere logs im Archiv.

Grüße, Alezza

cosinus · 19.01.2011, 16:03

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

AleZZa · 19.01.2011, 17:35

hab die hier noch:

Code:

ATTFilter

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.01.2011 17:23:58
mbam-log-2011-01-03 (17-23-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148715
Laufzeit: 5 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.11.2010 17:08:00
mbam-log-2010-11-07 (17-08-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144465
Laufzeit: 4 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.11.2010 10:39:09
mbam-log-2010-11-05 (10-39-09).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143537
Laufzeit: 4 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 19.01.2011, 21:04

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

AleZZa · 20.01.2011, 07:41

Hier ist der vollständige Suchlauf:

Code:

ATTFilter

20.01.2011 00:29:15
mbam-log-2011-01-20 (00-29-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 356605
Laufzeit: 1 Stunde(n), 17 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully.
d:\deathspank\uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
e:\downloads\deathspank\nfoviewer.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.

Gestern fand Antivir auch "TR/Trash.Gen" in
C:\System Volume Information\_restore{CCF0D8D8-B4CB-43BF-8439-412466999C07}\RP414\A0096900.exe,
C:\System Volume Information\_restore{CCF0D8D8-B4CB-43BF-8439-412466999C07}\RP414\A0096899.dll und
C:\System Volume Information\_restore{CCF0D8D8-B4CB-43BF-8439-412466999C07}\RP414\A0096898.exe

cosinus · 20.01.2011, 09:37

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\***\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\***\Anwendungsdaten\TEMP:A8ADE5D8
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

AleZZa · 20.01.2011, 10:19

Hier mal die logs, es wurden zwei.. hab zuvor den flaschen user angegeben, nicht wundern..

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Unable to delete ADS C:\Dokumente und Einstellungen\***\Anwendungsdaten\TEMP:DFC5A2B2 .
Unable to delete ADS C:\Dokumente und Einstellungen\***\Anwendungsdaten\TEMP:A8ADE5D8 .
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 1562181 bytes
->Temporary Internet Files folder emptied: 90756 bytes
->Java cache emptied: 16205 bytes
->FireFox cache emptied: 54474831 bytes
->Flash cache emptied: 16460 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1096725239 bytes
 
Total Files Cleaned = 1.100,00 mb

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
ADS C:\Dokumente und Einstellungen\***\Anwendungsdaten\TEMP:DFC5A2B2 deleted successfully.
ADS C:\Dokumente und Einstellungen\***\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ***
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 40316 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 4587241 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 4,00 mb

bin ich nun schon viren/trojanerfrei?

cosinus · 20.01.2011, 11:07

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

AleZZa · 20.01.2011, 11:57

ComboFix Log:

Code:

ATTFilter

ComboFix 11-01-19.03 - *** 20.01.2011  11:36:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1667 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\settings.reg
c:\windows\system32\Data
c:\windows\system32\muzapp.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


(((((((((((((((((((((((   Dateien erstellt von 2010-12-20 bis 2011-01-20  ))))))))))))))))))))))))))))))
.

2011-01-20 09:03 . 2011-01-20 09:03	--------	d-----w-	C:\_OTL
2011-01-20 06:51 . 2011-01-20 06:51	--------	d-----w-	c:\programme\VS Revo Group
2011-01-19 14:51 . 2011-01-19 14:51	388096	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-01-19 07:45 . 2011-01-19 07:45	--------	d-----w-	c:\programme\ERUNT
2011-01-16 17:07 . 2011-01-16 19:26	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\.minecraft
2011-01-15 13:46 . 2011-01-15 13:46	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\TeamViewer
2011-01-05 10:02 . 2011-01-05 10:02	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Application Updater
2011-01-05 10:02 . 2001-10-28 15:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2011-01-05 10:02 . 1998-06-23 23:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2011-01-05 10:02 . 2011-01-05 10:03	--------	d-----w-	c:\programme\PDFCreator
2011-01-05 10:02 . 1998-07-06 16:56	125712	----a-w-	c:\windows\system32\VB6DE.DLL
2011-01-05 10:02 . 1998-07-06 16:55	158208	----a-w-	c:\windows\system32\MSCMCDE.DLL
2011-01-05 10:02 . 1998-07-06 16:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2011-01-05 10:02 . 1998-07-05 23:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2011-01-03 16:00 . 2004-06-02 12:19	45056	----a-w-	c:\windows\system32\MaXMLProto.dll
2011-01-03 16:00 . 2004-05-30 11:13	106609	----a-w-	c:\windows\system32\MaJUtilLib.dll
2011-01-03 16:00 . 2004-03-22 08:14	49152	----a-r-	c:\windows\system32\MaJGUILib.dll
2011-01-03 15:53 . 2011-01-03 15:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DataCast
2011-01-03 15:53 . 2011-01-03 15:53	--------	d-----w-	c:\programme\MarkAny
2011-01-03 15:53 . 2011-01-03 15:53	--------	d-----w-	c:\programme\Samsung
2011-01-03 15:52 . 2011-01-03 15:52	--------	d-----w-	C:\Manual-PCProgram
2011-01-03 15:38 . 2011-01-03 15:38	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-01-03 15:24 . 2011-01-03 15:24	--------	d-----w-	c:\programme\7-Zip
2010-12-30 08:08 . 2010-12-30 08:08	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-03 15:52 . 2009-10-29 04:48	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-12-21 11:56 . 2010-12-18 16:09	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-11-05 09:33	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-11-05 09:33	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-30 17:13 . 2010-12-18 16:09	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-12 17:53 . 2010-04-17 11:19	472808	-c--a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-09-04 15:40	73728	----a-w-	c:\windows\system32\javacpl.cpl
.

------- Sigcheck -------

[-] 2010-07-20 09:54 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2010-07-20 09:54 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2010-07-20 09:54 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[-] 2009-11-04 12:27 . 18747FCB2508EEEC79415B32F63F3654 . 36864 . . [------] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDockCopy\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-08 13851752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-07-20 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoStart IR.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk
backup=c:\windows\pss\AutoStart IR.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTCheck]
2007-11-06 10:08	397312	------w-	c:\programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50	1144104	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2008-12-04 11:24	665424	------w-	c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2010-03-30 09:16	1820040	----a-w-	c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-08-10 03:15	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-10-21 22:14	1242448	----a-w-	c:\programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-12-09 10:45	74752	----a-w-	c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Garena\\Garena.exe"=
"d:\\Sacred 2\\system\\s2gs.exe"=
"d:\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\***\\Desktop\\Programme\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\steamapps\\k1ll0rchic\\day of defeat\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\k1ll0rchic\\opposing force\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\alien swarm\\srcds.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\alien swarm\\swarm.exe"=
"d:\\LoL\\air\\LolClient.exe"=
"d:\\LoL\\game\\League of Legends.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8372:TCP"= 8372:TCP:League of Legends Launcher
"8372:UDP"= 8372:UDP:League of Legends Launcher
"8373:TCP"= 8373:TCP:League of Legends Launcher
"8373:UDP"= 8373:UDP:League of Legends Launcher
"8374:TCP"= 8374:TCP:League of Legends Launcher
"8374:UDP"= 8374:UDP:League of Legends Launcher
"8375:TCP"= 8375:TCP:League of Legends Launcher
"8375:UDP"= 8375:UDP:League of Legends Launcher
"8376:TCP"= 8376:TCP:League of Legends Launcher
"8376:UDP"= 8376:UDP:League of Legends Launcher
"8377:TCP"= 8377:TCP:League of Legends Launcher
"8377:UDP"= 8377:UDP:League of Legends Launcher
"8378:TCP"= 8378:TCP:League of Legends Launcher
"8378:UDP"= 8378:UDP:League of Legends Launcher
"8379:TCP"= 8379:TCP:League of Legends Launcher
"8379:UDP"= 8379:UDP:League of Legends Launcher
"58631:TCP"= 58631:TCP:Pando Media Booster
"58631:UDP"= 58631:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6941:TCP"= 6941:TCP:League of Legends Launcher
"6941:UDP"= 6941:UDP:League of Legends Launcher
"8395:TCP"= 8395:TCP:League of Legends Launcher
"8395:UDP"= 8395:UDP:League of Legends Launcher
"6957:TCP"= 6957:TCP:League of Legends Launcher
"6957:UDP"= 6957:UDP:League of Legends Launcher
"6963:TCP"= 6963:TCP:League of Legends Launcher
"6963:UDP"= 6963:UDP:League of Legends Launcher
"57335:TCP"= 57335:TCP:Pando Media Booster
"57335:UDP"= 57335:UDP:Pando Media Booster
"6989:TCP"= 6989:TCP:League of Legends Launcher
"6989:UDP"= 6989:UDP:League of Legends Launcher
"6911:TCP"= 6911:TCP:League of Legends Launcher
"6911:UDP"= 6911:UDP:League of Legends Launcher
"6947:TCP"= 6947:TCP:League of Legends Launcher
"6947:UDP"= 6947:UDP:League of Legends Launcher
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"6942:TCP"= 6942:TCP:League of Legends Launcher
"6942:UDP"= 6942:UDP:League of Legends Launcher
"6954:TCP"= 6954:TCP:League of Legends Launcher
"6954:UDP"= 6954:UDP:League of Legends Launcher
"6910:TCP"= 6910:TCP:League of Legends Launcher
"6910:UDP"= 6910:UDP:League of Legends Launcher

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [20.01.2010 12:28 295432]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.12.2010 17:09 135336]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 10:16 1107336]
R3 ChyWDMKb;Cherry Universal Treiber;c:\windows\system32\drivers\ChyWDMKb.sys [13.07.2001 08:27 108900]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [12.12.2010 10:39 136176]
S3 GarenaPEngine;GarenaPEngine;\??\c:\dokume~1\***\LOKALE~1\Temp\QFJ44.tmp --> c:\dokume~1\***\LOKALE~1\Temp\QFJ44.tmp [?]
S3 GGSAFERDriver;GGSAFER Driver;\??\d:\garena\plugins\UI\safedrv.sys --> d:\garena\plugins\UI\safedrv.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.11.2009 13:19 691696]
.
Inhalt des "geplante Tasks" Ordners

2011-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-12 09:39]

2011-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-12 09:39]

2011-01-20 c:\windows\Tasks\User_Feed_Synchronization-{8B15D663-F94E-4F32-8396-8480C63A6740}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: ColorfulTabs: {0545b830-f0aa-4d7e-8820-50a4629a56fe} - %profile%\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Strata40: Strata40@SpewBoy.au - %profile%\extensions\Strata40@SpewBoy.au
FF - Ext: StrataBuddy: StrataBuddy@ReduxTeam - %profile%\extensions\StrataBuddy@ReduxTeam
FF - Ext: Tab Progress Bar: tabprogressbar@studio17.wordpress.com - %profile%\extensions\tabprogressbar@studio17.wordpress.com
FF - Ext: FlashFirebug: flashfirebug@o-minds.com - %profile%\extensions\flashfirebug@o-minds.com
FF - Ext: LT-FFA-001: lt001ffa@lamda-t.de - %profile%\extensions\lt001ffa@lamda-t.de
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.01.01
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)
MSConfigStartUp-nwiz - nwiz.exe
AddRemove-Octoshape add-in for Adobe Flash Player - c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-20 11:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\dokume~1\***\LOKALE~1\Temp\QFJ44.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1957994488-1801674531-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:85,21,35,0e,89,54,49,10,05,f4,08,d9,25,32,07,12,49,78,2d,bb,ff,
   dd,6d,6a,77,51,b7,43,b9,21,ee,8c,20,98,06,e5,b3,82,e6,2a,52,c3,6a,6c,e5,9c,\
"rkeysecu"=hex:a4,4d,66,4c,b8,10,60,d4,fd,e0,53,1a,11,36,de,10

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3528)
c:\programme\RocketDockCopy\RocketDock.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-20  11:44:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-20 10:44

Vor Suchlauf: 4.844.118.016 Bytes frei
Nach Suchlauf: 4.729.819.136 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 11EE04525DD1566F11132698E90AA80A

Nun ist Antivir nicht mehr im Tray, im Sicherheitscenter ist der Virenschutz aber auf aktiv. In den Eigenschaften der Taskleiste sollte Avira Antivir eigentlich immer eingeblendet sein.. nu kaputt? :/ Mal deinstallieren und wieder neuinstallieren?

cosinus · 20.01.2011, 12:57

Bitte diese ctfmon laden und direkt auf C: abspeichern => File-Upload.net - ctfmon.exe
Dann gehts so weiter:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

FCopy::
c:\ctfmon.exe | c:\windows\system32\ctfmon.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

AleZZa · 20.01.2011, 14:10

Code:

ATTFilter

ComboFix 11-01-19.03 - *** 20.01.2011  13:58:32.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1620 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-20 bis 2011-01-20  ))))))))))))))))))))))))))))))
.

2011-01-20 09:03 . 2011-01-20 09:03	--------	d-----w-	C:\_OTL
2011-01-20 06:51 . 2011-01-20 06:51	--------	d-----w-	c:\programme\VS Revo Group
2011-01-19 14:51 . 2011-01-19 14:51	388096	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-01-19 07:45 . 2011-01-19 07:45	--------	d-----w-	c:\programme\ERUNT
2011-01-16 17:07 . 2011-01-16 19:26	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\.minecraft
2011-01-15 13:46 . 2011-01-15 13:46	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\TeamViewer
2011-01-05 10:02 . 2011-01-05 10:02	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Application Updater
2011-01-05 10:02 . 2001-10-28 15:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2011-01-05 10:02 . 1998-06-23 23:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2011-01-05 10:02 . 2011-01-05 10:03	--------	d-----w-	c:\programme\PDFCreator
2011-01-05 10:02 . 1998-07-06 16:56	125712	----a-w-	c:\windows\system32\VB6DE.DLL
2011-01-05 10:02 . 1998-07-06 16:55	158208	----a-w-	c:\windows\system32\MSCMCDE.DLL
2011-01-05 10:02 . 1998-07-06 16:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2011-01-05 10:02 . 1998-07-05 23:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2011-01-03 16:00 . 2004-06-02 12:19	45056	----a-w-	c:\windows\system32\MaXMLProto.dll
2011-01-03 16:00 . 2004-05-30 11:13	106609	----a-w-	c:\windows\system32\MaJUtilLib.dll
2011-01-03 16:00 . 2004-03-22 08:14	49152	----a-r-	c:\windows\system32\MaJGUILib.dll
2011-01-03 15:53 . 2011-01-03 15:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DataCast
2011-01-03 15:53 . 2011-01-03 15:53	--------	d-----w-	c:\programme\MarkAny
2011-01-03 15:53 . 2011-01-03 15:53	--------	d-----w-	c:\programme\Samsung
2011-01-03 15:52 . 2011-01-03 15:52	--------	d-----w-	C:\Manual-PCProgram
2011-01-03 15:38 . 2011-01-03 15:38	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-01-03 15:24 . 2011-01-03 15:24	--------	d-----w-	c:\programme\7-Zip
2010-12-30 08:08 . 2010-12-30 08:08	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-03 15:52 . 2009-10-29 04:48	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-12-21 11:56 . 2010-12-18 16:09	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-11-05 09:33	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-11-05 09:33	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-30 17:13 . 2010-12-18 16:09	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-12 17:53 . 2010-04-17 11:19	472808	-c--a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-09-04 15:40	73728	----a-w-	c:\windows\system32\javacpl.cpl
.

------- Sigcheck -------

[-] 2010-07-20 09:54 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2010-07-20 09:54 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2010-07-20 09:54 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[-] 2009-11-04 12:27 . 18747FCB2508EEEC79415B32F63F3654 . 36864 . . [------] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((((   SnapShot@2011-01-20_10.41.10   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-04 10:49 . 2011-01-20 11:01	86327              c:\windows\pchealth\helpctr\OfflineCache\index.dat
- 2009-11-04 10:49 . 2009-11-04 10:49	86327              c:\windows\pchealth\helpctr\OfflineCache\index.dat
+ 2009-11-04 10:49 . 2011-01-20 11:01	2426              c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
+ 2009-11-04 10:49 . 2011-01-20 11:01	8972              c:\windows\pchealth\helpctr\Config\Cntstore.bin
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDockCopy\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-08 13851752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-07-20 24064]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoStart IR.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk
backup=c:\windows\pss\AutoStart IR.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTCheck]
2007-11-06 10:08	397312	------w-	c:\programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50	1144104	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2008-12-04 11:24	665424	------w-	c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2010-03-30 09:16	1820040	----a-w-	c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-08-10 03:15	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-10-21 22:14	1242448	----a-w-	c:\programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-12-09 10:45	74752	----a-w-	c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Garena\\Garena.exe"=
"d:\\Sacred 2\\system\\s2gs.exe"=
"d:\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\***\\Desktop\\Programme\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\steamapps\\***\\day of defeat\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\***\\opposing force\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\alien swarm\\srcds.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\alien swarm\\swarm.exe"=
"d:\\LoL\\air\\LolClient.exe"=
"d:\\LoL\\game\\League of Legends.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8372:TCP"= 8372:TCP:League of Legends Launcher
"8372:UDP"= 8372:UDP:League of Legends Launcher
"8373:TCP"= 8373:TCP:League of Legends Launcher
"8373:UDP"= 8373:UDP:League of Legends Launcher
"8374:TCP"= 8374:TCP:League of Legends Launcher
"8374:UDP"= 8374:UDP:League of Legends Launcher
"8375:TCP"= 8375:TCP:League of Legends Launcher
"8375:UDP"= 8375:UDP:League of Legends Launcher
"8376:TCP"= 8376:TCP:League of Legends Launcher
"8376:UDP"= 8376:UDP:League of Legends Launcher
"8377:TCP"= 8377:TCP:League of Legends Launcher
"8377:UDP"= 8377:UDP:League of Legends Launcher
"8378:TCP"= 8378:TCP:League of Legends Launcher
"8378:UDP"= 8378:UDP:League of Legends Launcher
"8379:TCP"= 8379:TCP:League of Legends Launcher
"8379:UDP"= 8379:UDP:League of Legends Launcher
"58631:TCP"= 58631:TCP:Pando Media Booster
"58631:UDP"= 58631:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6941:TCP"= 6941:TCP:League of Legends Launcher
"6941:UDP"= 6941:UDP:League of Legends Launcher
"8395:TCP"= 8395:TCP:League of Legends Launcher
"8395:UDP"= 8395:UDP:League of Legends Launcher
"6957:TCP"= 6957:TCP:League of Legends Launcher
"6957:UDP"= 6957:UDP:League of Legends Launcher
"6963:TCP"= 6963:TCP:League of Legends Launcher
"6963:UDP"= 6963:UDP:League of Legends Launcher
"57335:TCP"= 57335:TCP:Pando Media Booster
"57335:UDP"= 57335:UDP:Pando Media Booster
"6989:TCP"= 6989:TCP:League of Legends Launcher
"6989:UDP"= 6989:UDP:League of Legends Launcher
"6911:TCP"= 6911:TCP:League of Legends Launcher
"6911:UDP"= 6911:UDP:League of Legends Launcher
"6947:TCP"= 6947:TCP:League of Legends Launcher
"6947:UDP"= 6947:UDP:League of Legends Launcher
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"6942:TCP"= 6942:TCP:League of Legends Launcher
"6942:UDP"= 6942:UDP:League of Legends Launcher
"6954:TCP"= 6954:TCP:League of Legends Launcher
"6954:UDP"= 6954:UDP:League of Legends Launcher
"6910:TCP"= 6910:TCP:League of Legends Launcher
"6910:UDP"= 6910:UDP:League of Legends Launcher

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [20.01.2010 12:28 295432]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.12.2010 17:09 135336]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 10:16 1107336]
R3 ChyWDMKb;Cherry Universal Treiber;c:\windows\system32\drivers\ChyWDMKb.sys [13.07.2001 08:27 108900]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [12.12.2010 10:39 136176]
S3 GarenaPEngine;GarenaPEngine;\??\c:\dokume~1\***\LOKALE~1\Temp\QFJ44.tmp --> c:\dokume~1\***\LOKALE~1\Temp\QFJ44.tmp [?]
S3 GGSAFERDriver;GGSAFER Driver;\??\d:\garena\plugins\UI\safedrv.sys --> d:\garena\plugins\UI\safedrv.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.11.2009 13:19 691696]
.
Inhalt des "geplante Tasks" Ordners

2011-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-12 09:39]

2011-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-12 09:39]

2011-01-20 c:\windows\Tasks\User_Feed_Synchronization-{8B15D663-F94E-4F32-8396-8480C63A6740}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sqp1emyf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: ColorfulTabs: {0545b830-f0aa-4d7e-8820-50a4629a56fe} - %profile%\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Strata40: Strata40@SpewBoy.au - %profile%\extensions\Strata40@SpewBoy.au
FF - Ext: StrataBuddy: StrataBuddy@ReduxTeam - %profile%\extensions\StrataBuddy@ReduxTeam
FF - Ext: Tab Progress Bar: tabprogressbar@studio17.wordpress.com - %profile%\extensions\tabprogressbar@studio17.wordpress.com
FF - Ext: FlashFirebug: flashfirebug@o-minds.com - %profile%\extensions\flashfirebug@o-minds.com
FF - Ext: LT-FFA-001: lt001ffa@lamda-t.de - %profile%\extensions\lt001ffa@lamda-t.de
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.01.01
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-20 14:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\dokume~1\***\LOKALE~1\Temp\QFJ44.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1957994488-1801674531-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:85,21,35,0e,89,54,49,10,05,f4,08,d9,25,32,07,12,49,78,2d,bb,ff,
   dd,6d,6a,77,51,b7,43,b9,21,ee,8c,20,98,06,e5,b3,82,e6,2a,52,c3,6a,6c,e5,9c,\
"rkeysecu"=hex:a4,4d,66,4c,b8,10,60,d4,fd,e0,53,1a,11,36,de,10

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3960)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-01-20  14:03:40
ComboFix-quarantined-files.txt  2011-01-20 13:03
ComboFix2.txt  2011-01-20 10:44

Vor Suchlauf: 4.726.091.776 Bytes frei
Nach Suchlauf: 4.712.529.920 Bytes frei

- - End Of File - - 64B7A113746EB27613B07664D8F2F2CB

cosinus · 20.01.2011, 16:01

Zitat:

c:\windows\ServicePackFiles\i386\ctfmon.exe

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

AleZZa · 20.01.2011, 16:41

hxxp://www.virustotal.com/file-scan/report.html?id=e70818d0dc35a6aaf26c2d48a74f98509f9d0c53cfa1ab604cf47532f044010f-1295537356

cosinus · 21.01.2011, 12:37

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

AleZZa · 22.01.2011, 22:50

so, hier die osam.log, gmer wollte nich.. :

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:44:24 on 22.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"Mp3cnfg.cpl" - "Kristal Studio" - C:\WINDOWS\system32\Mp3cnfg.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"QTW32.CPL" - "Apple Computer, Inc." - C:\WINDOWS\system32\QTW32.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"DeviceControl" - "Creative Technology Ltd." - C:\Programme\Creative\Device Control\USBAudio.cpl
"Pando" - "Pando Networks" - C:\Programme\Pando Networks\Media Booster\PMB.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys
"AMD Low Level Device Driver" (AmdLLD) - ? - C:\WINDOWS\System32\DRIVERS\AmdLLD.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"GarenaPEngine" (GarenaPEngine) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\QFJ44.tmp  (File not found)
"GGSAFER Driver" (GGSAFERDriver) - ? - D:\Garena\plugins\UI\safedrv.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{12D51199-0DB5-46FE-A120-47A3D7D937CC} "DVD: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
{CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} "TV: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{4AFB2C17-9D16-4478-AEF4-C3FC539961E4} "ZEN Media Explorer" - "Creative Technology Ltd" - C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\SHCTMTP.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"RocketDock" - ? - "C:\Programme\RocketDockCopy\RocketDock.exe"  (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und der MBRCheck:

Code:

ATTFilter

MBRCheckMBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x00001ffc

Kernel Drivers (total 121):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xB85A8000 \WINDOWS\system32\KDCOM.DLL
  0xB84B8000 \WINDOWS\system32\BOOTVID.dll
  0xB7F78000 ACPI.sys
  0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB7F67000 pci.sys
  0xB80A8000 ohci1394.sys
  0xB80B8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xB80C8000 isapnp.sys
  0xB8670000 pciide.sys
  0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB80D8000 MountMgr.sys
  0xB7F48000 ftdisk.sys
  0xB85AC000 dmload.sys
  0xB7F22000 dmio.sys
  0xB8330000 PartMgr.sys
  0xB80E8000 VolSnap.sys
  0xB7F0A000 atapi.sys
  0xB80F8000 disk.sys
  0xB8108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB7EEA000 fltmgr.sys
  0xB8118000 PxHelp20.sys
  0xB7ED3000 KSecDD.sys
  0xB7EC0000 WudfPf.sys
  0xB7E33000 Ntfs.sys
  0xB7E06000 NDIS.sys
  0xB7DEC000 Mup.sys
  0xB8318000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xB6D96000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB6D82000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8458000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB6D5E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xB8460000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB8148000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB8158000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB8168000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB6D3B000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB6D13000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB8468000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
  0xB8178000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xB8188000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB7DB8000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB869D000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB8198000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB7DB4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB6CEB000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB81A8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB81B8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB8470000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB6CDA000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB81C8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xB8480000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xB8488000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB8490000 \SystemRoot\system32\DRIVERS\hamachi.sys
  0xB6C0A000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xB81F8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xB8498000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB84A0000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB85EC000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB6BAC000 \SystemRoot\system32\DRIVERS\update.sys
  0xB7A4C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB8218000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB82B8000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB8608000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB4361000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB433D000 \SystemRoot\system32\drivers\portcls.sys
  0xB6CBA000 \SystemRoot\system32\drivers\drmk.sys
  0xB8614000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB87EA000 \SystemRoot\System32\Drivers\Null.SYS
  0xB8616000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB83B0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB83B8000 \SystemRoot\System32\drivers\vga.sys
  0xB8618000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xB861A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB83C0000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB83C8000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB8590000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB4215000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB41BC000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB4194000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB416E000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB6C8A000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB414C000 \SystemRoot\System32\drivers\afd.sys
  0xB6C7A000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB6C5A000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB83D0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB40F9000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB4089000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB6C4A000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB4063000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xB83E8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB48DD000 \SystemRoot\System32\Drivers\LHidUsb.Sys
  0xB48CD000 \SystemRoot\System32\Drivers\HIDCLASS.SYS
  0xB8624000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB83F8000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xB7A40000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB8400000 \SystemRoot\system32\DRIVERS\LHidFlt2.Sys
  0xB47FF000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB3FEE000 \SystemRoot\system32\DRIVERS\LMouFlt2.Sys
  0xB47F7000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xB3FDC000 \SystemRoot\System32\drivers\ChyWDMKb.sys
  0xB432D000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB3FC4000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xB863A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB427D000 \SystemRoot\System32\drivers\Dxapi.sys
  0xB8418000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xB879D000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xB346C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB343C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB3137000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB32A4000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB2EDA000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB2D7B000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
  0xB2C11000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB2978000 \SystemRoot\System32\Drivers\HTTP.sys
  0xADFE7000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 31):
       0 System Idle Process
       4 System
     596 C:\WINDOWS\system32\smss.exe
     644 csrss.exe
     672 C:\WINDOWS\system32\winlogon.exe
     716 C:\WINDOWS\system32\services.exe
     728 C:\WINDOWS\system32\lsass.exe
     932 C:\WINDOWS\system32\nvsvc32.exe
     964 C:\WINDOWS\system32\svchost.exe
    1052 svchost.exe
    1216 C:\WINDOWS\system32\svchost.exe
    1252 C:\WINDOWS\system32\svchost.exe
    1424 svchost.exe
    1508 svchost.exe
    1624 C:\WINDOWS\system32\spoolsv.exe
    1672 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1896 C:\WINDOWS\explorer.exe
     168 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
     380 C:\Programme\RocketDockCopy\RocketDock.exe
     388 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIFDE.EXE
     956 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1148 C:\Programme\LogMeIn Hamachi\hamachi-2.exe
    1200 C:\Programme\Java\jre6\bin\jqs.exe
    1488 C:\WINDOWS\system32\svchost.exe
     244 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2092 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2452 alg.exe
    3184 C:\WINDOWS\system32\svchost.exe
    2260 C:\Programme\Skype\Phone\Skype.exe
    3808 C:\Programme\Mozilla Firefox\firefox.exe
     648 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006`1a79e400  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000036`ee451400  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000004f`582aac00  (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000067`c2104400  (NTFS)

PhysicalDrive0 Model Number: ST3500630AS, Rev: 3.AAC   

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

19.01.2011, 16:03	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\*\Desktop\FLVTube.exe gefunden - Hilfe - Standard$ TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\*\Desktop\FLVTube.exe gefunden - Hilfe Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ __________________

TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe gefunden - Hilfe

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe gefunden - Hilfe