Virus System Tool

cosinus · 25.01.2011, 13:27

Also bei mir unter Windows funktioniert es.
Teste es mal bei dir mit dieser älteren OTL-Version => File-Upload.net - OTL3281.rar

Und hier ist eine noch ältere Version 3.2.17.3 => http://sicher-ins-netz.info/dl/lichtinsdunkel.exe

Henning1982 · 25.01.2011, 14:34

Bestens, mit der ersten älteren Version hat es geklappt

Habe ja noch Win XP...hier also das OTL-Protokoll:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\AUTOEXEC.BAT not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a39596e1-ae59-11de-9f7b-000347db8100}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a39596e1-ae59-11de-9f7b-000347db8100}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a39596e1-ae59-11de-9f7b-000347db8100}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a39596e1-ae59-11de-9f7b-000347db8100}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a56ee350-695d-11de-9e2f-000347db8100}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a56ee350-695d-11de-9e2f-000347db8100}\ not found.
File jix9a.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a56ee350-695d-11de-9e2f-000347db8100}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a56ee350-695d-11de-9e2f-000347db8100}\ not found.
File jix9a.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a56ee350-695d-11de-9e2f-000347db8100}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a56ee350-695d-11de-9e2f-000347db8100}\ not found.
File jix9a.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dc1debc2-7aaf-11de-9e48-000347db8100}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dc1debc2-7aaf-11de-9e48-000347db8100}\ not found.
File I:\setupSNK.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Henja Sonning
->Temp folder emptied: 7811 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 28627871 bytes
->Flash cache emptied: 456 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 27,00 mb

OTL by OldTimer - Version 3.2.8.1 log created on 01252011_142825

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 25.01.2011, 14:37

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Henning1982 · 25.01.2011, 14:48

Super, danke! Eine Frage noch: Soll ich also mit CCleaner eine Systembereinigung durchführen bevor ich ComboFix starte?
Und noch eine Frage: Mein PC speichert Downloads immer direkt im gleichnamigen Ordner, ohne mich zu fragen, wohin ich sie haben möchte und unter welchem Namen. Ist es auch ok, wenn ich Combofix so runterlade, und danach umbenenne und auf den Desktop verschiebe?

Henning1982 · 25.01.2011, 16:12

Hat alles geklappt. Hier das ComboFix-Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-24.02 - Henja Sonning 25.01.2011  16:03:05.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.688 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Henja Sonning\Desktop\Cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Henja Sonning\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Henja Sonning\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\Henja Sonning\Anwendungsdaten\Desktopicon\uninst.exe
c:\dokumente und einstellungen\Henja Sonning\Startmenü\Programme\System Tool

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-25 bis 2011-01-25  ))))))))))))))))))))))))))))))
.

2011-01-25 14:47 . 2011-01-25 14:47	--------	d-----w-	c:\programme\CCleaner
2011-01-25 07:06 . 2011-01-25 07:06	--------	d-----w-	C:\_OTL
2011-01-24 06:57 . 2011-01-24 07:59	--------	d-----w-	c:\windows\system32\NtmsData
2011-01-23 20:49 . 2011-01-23 20:49	--------	d-----w-	c:\dokumente und einstellungen\Henja Sonning\Anwendungsdaten\Malwarebytes
2011-01-23 20:48 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-23 20:48 . 2011-01-23 20:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-23 20:48 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-23 20:48 . 2011-01-23 22:18	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-23 20:39 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2011-01-23 20:39 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2011-01-23 20:39 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2011-01-23 20:38 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2011-01-23 20:37 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2011-01-20 16:27 . 2011-01-20 16:27	--------	d-----w-	C:\found.005

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-23 20:36 . 2009-07-03 17:33	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-16 12:37 . 2009-07-03 17:33	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2009-07-03 15:59	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-09 14:51 . 2004-08-03 22:57	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-05 05:04 . 2006-08-07 16:13	672768	----a-w-	c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2004-08-03 20:59	61952	----a-w-	c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2004-08-03 22:57	81920	----a-w-	c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2004-08-03 22:42	371200	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2001-08-18 11:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-03 22:54	290048	----a-w-	c:\windows\system32\atmfd.dll
.

------- Sigcheck -------

[-] 2005-07-18 09:38 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-16 281768]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2009-02-06 4223232]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-09-06 204680]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.07.2009 18:33 135336]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [06.02.2009 13:09 1263872]
R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [06.02.2009 13:08 344832]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HTTPFILTER
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Henja Sonning\Anwendungsdaten\Mozilla\Firefox\Profiles\t410qyoi.hen\
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-eBay Icon - c:\dokumente und einstellungen\Henja Sonning\Anwendungsdaten\Desktopicon\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-25 16:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-01-25  16:10:30
ComboFix-quarantined-files.txt  2011-01-25 15:10

Vor Suchlauf: 5 Verzeichnis(se), 21.792.317.440 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 21.832.253.440 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - F18F32A8C2FBC722EDBACAC27FF566EC

--- --- ---

cosinus · 25.01.2011, 19:45

Zitat:

Soll ich also mit CCleaner eine Systembereinigung durchführen bevor ich ComboFix starte?

Wieso fragst du das wenn das so in der Anleitung steht, meinst du der Satz mit CCleaner ist nur zur Deko?

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Henning1982 · 26.01.2011, 09:22

Hier schonmal das Osam-File. Hoffe das ist richtig, Ablauf war nicht ganz so wie in Anleitung.

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 09:20:52 on 26.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\HENJAS~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Microsoft Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\x86\XCShInfo.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\x86\XCShInfo.dll
{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\x86\XCShInfo.dll
{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\x86\XCShInfo.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\Audiodev.dll
{cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\Audiodev.dll
{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\x86\PXCPrevHost.exe
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\msonsext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} "PDF-XChange Viewer IE-Plugin" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Henja Sonning\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"BrMfcWnd" - "Brother Industries, Ltd." - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
"ControlCenter3" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
"IndexSearch" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
"Matrox PowerDesk SE" - "Matrox Graphics Inc." - "c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
"PaperPort PTD" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
"PDFPrint" - "Geek Software GmbH" - C:\Programme\pdf24\pdf24.exe
"PPort11reminder" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Matrox Centering Service" (Matrox Centering Service) - "Matrox Graphics Inc." - c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
"Matrox.Pdesk.ServicesHost" (Matrox.Pdesk.ServicesHost) - "Matrox Graphics Inc" - c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows-Benutzermodus-Treiberframework" (UMWdf) - "Microsoft Corporation" - C:\WINDOWS\system32\wdfmgr.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Henning1982 · 26.01.2011, 10:18

Und hier das GMER-File, seieht mir aber seltsam kurz aus...

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-26 10:15:50
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 IC35L040AVVA07-0 rev.VA2OA52A
Running: ttcothhp.exe; Driver: C:\DOKUME~1\HENJAS~1\LOKALE~1\Temp\afgyqfoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7EDC43E                  ZwCreateKey
SSDT            F7EDC434                  ZwCreateThread
SSDT            F7EDC443                  ZwDeleteKey
SSDT            F7EDC44D                  ZwDeleteValueKey
SSDT            F7EDC452                  ZwLoadKey
SSDT            F7EDC420                  ZwOpenProcess
SSDT            F7EDC425                  ZwOpenThread
SSDT            F7EDC45C                  ZwReplaceKey
SSDT            F7EDC457                  ZwRestoreKey
SSDT            F7EDC448                  ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

Henning1982 · 26.01.2011, 10:20

Und hier das File des MBR-Check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003d

Kernel Drivers (total 115):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF77DF000 ACPI.sys
0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CE000 pci.sys
0xF782F000 isapnp.sys
0xF7D33000 intelide.sys
0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF783F000 MountMgr.sys
0xF77AF000 ftdisk.sys
0xF7D35000 dmload.sys
0xF7789000 dmio.sys
0xF7AB7000 PartMgr.sys
0xF784F000 VolSnap.sys
0xF7771000 atapi.sys
0xF785F000 disk.sys
0xF786F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7751000 fltmgr.sys
0xF773F000 sr.sys
0xF787F000 PxHelp20.sys
0xF7728000 KSecDD.sys
0xF769B000 Ntfs.sys
0xF766E000 NDIS.sys
0xF7654000 Mup.sys
0xF788F000 agp440.sys
0xF7A1F000 \SystemRoot\system32\DRIVERS\processr.sys
0xF75B6000 \SystemRoot\system32\DRIVERS\g400dhm.sys
0xF75A2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7585000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF7A4F000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B47000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7B4F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7B57000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7A5F000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7CD3000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7571000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7A6F000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7A7F000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF754E000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7A8F000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7B5F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF752A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7512000 \SystemRoot\system32\drivers\ac97intc.sys
0xF74EE000 \SystemRoot\system32\drivers\portcls.sys
0xF7A9F000 \SystemRoot\system32\drivers\drmk.sys
0xF7F60000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF78BF000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7CDF000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF74D7000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF78CF000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF78DF000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B6F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF74C6000 \SystemRoot\system32\DRIVERS\psched.sys
0xF78EF000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B7F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B87000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7496000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF78FF000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7D47000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7370000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D07000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF791F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7B9F000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF793F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D73000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7D75000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7ECF000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D77000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BB7000 \SystemRoot\System32\drivers\vga.sys
0xF7D79000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D7B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BBF000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BC7000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CBF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF4B15000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF4ABC000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF4A94000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF4A72000 \SystemRoot\System32\drivers\afd.sys
0xF794F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7BCF000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF4A47000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF49D7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF795F000 \SystemRoot\System32\Drivers\Fips.SYS
0xF49B1000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF796F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF4963000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D7F000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF799F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7BE7000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7BEF000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF747A000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xF48DE000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D97000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6B58000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7ADF000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F72000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\G400DHD.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF34A9000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF34D6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF2A24000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7D69000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF2910000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF28FB000 \SystemRoot\system32\drivers\wdmaud.sys
0xF3449000 \SystemRoot\system32\drivers\sysaudio.sys
0xF282D000 \SystemRoot\system32\DRIVERS\srv.sys
0xF229C000 \SystemRoot\System32\Drivers\HTTP.sys
0xF1F5E000 \??\C:\DOKUME~1\HENJAS~1\LOKALE~1\Temp\afgyqfoc.sys
0xF1F33000 \SystemRoot\system32\drivers\kmixer.sys
0xF1EC6000 \SystemRoot\system32\DRIVERS\rt73.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
544 C:\WINDOWS\system32\smss.exe
780 csrss.exe
804 C:\WINDOWS\system32\winlogon.exe
848 C:\WINDOWS\system32\services.exe
860 C:\WINDOWS\system32\lsass.exe
1032 C:\WINDOWS\system32\svchost.exe
1080 svchost.exe
1124 C:\WINDOWS\system32\svchost.exe
1260 svchost.exe
1464 svchost.exe
1484 C:\WINDOWS\explorer.exe
1744 C:\WINDOWS\system32\spoolsv.exe
1792 C:\Programme\Avira\AntiVir Desktop\sched.exe
1828 svchost.exe
1892 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1952 C:\Programme\Java\jre6\bin\jqs.exe
2032 C:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
200 C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
224 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
244 C:\WINDOWS\system32\mgabg.exe
256 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
432 C:\WINDOWS\system32\svchost.exe
496 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
520 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
584 C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
632 C:\Programme\Java\jre6\bin\jusched.exe
676 C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
708 C:\Programme\pdf24\pdf24.exe
1608 C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
408 C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
2240 alg.exe
2988 C:\WINDOWS\system32\wscntfy.exe
2568 C:\WINDOWS\system32\svchost.exe
3944 C:\Programme\Mozilla Firefox\firefox.exe
2924 C:\Dokumente und Einstellungen\Henja Sonning\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: IC35L040AVVA07-0, Rev: VA2OA52A
PhysicalDrive1 Model Number: ST320423A, Rev: 3.02

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
19 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 26.01.2011, 10:42

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Henning1982 · 26.01.2011, 11:54

Hier schonmal der Malwarebytes-Log. Hat nichts mehr gefunden...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5581

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.01.2011 11:53:50
mbam-log-2011-01-26 (11-53-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 170608
Laufzeit: 41 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Henning1982 · 26.01.2011, 12:58

Hier das Log von SuperAntiSpyware. Hat leider noch 2 Trojaner gefunden. Die hat es dann aber gleich entfernt. Was nun?

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/26/2011 at 12:54 PM

Application Version : 4.48.1000

Core Rules Database Version : 6277
Trace Rules Database Version: 4089

Scan type : Complete Scan
Total Scan Time : 00:48:17

Memory items scanned : 460
Memory threats detected : 0
Registry items scanned : 5979
Registry threats detected : 0
File items scanned : 41171
File threats detected : 2

Trojan.Agent/Gen-FakeAV
C:\PROGRAMME\WINRAR\DEFAULT.SFX

Trojan.Agent/Gen-FakeAlert
C:\SYSTEM VOLUME INFORMATION\_RESTORE{6E70E7DC-1C28-4071-9EBF-F535962078E3}\RP310\A0034487.EXE

cosinus · 26.01.2011, 13:09

Zu WinRAR ist ein Fehlalarm. Das andere nur ein Überrest in der Systemwiederherstellung.
Noch Probleme oder Rechner wieder ok?

Henning1982 · 26.01.2011, 13:56

Läuft alles bestens, auch nicht langsamer oder so! Vielen Dank! Soll ich die ganzen Programmen wieder löschen?

cosinus · 26.01.2011, 15:40

Ja die Programme können runter.
Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

25.01.2011, 13:27	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus System Tool Also bei mir unter Windows funktioniert es. Teste es mal bei dir mit dieser älteren OTL-Version => File-Upload.net - OTL3281.rar Und hier ist eine noch ältere Version 3.2.17.3 => http://sicher-ins-netz.info/dl/lichtinsdunkel.exe __________________ Logfiles bitte immer in CODE-Tags posten

26.01.2011, 10:42	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus System Tool Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

26.01.2011, 13:09	#28
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus System Tool Zu WinRAR ist ein Fehlalarm. Das andere nur ein Überrest in der Systemwiederherstellung. Noch Probleme oder Rechner wieder ok? __________________ Logfiles bitte immer in CODE-Tags posten

Virus System Tool

Plagegeister aller Art und deren Bekämpfung: Virus System Tool