Spy.Agent.zcb u. Dropper.Gen bei AntiVir gefunden

Phlipp · 29.01.2011, 19:58

Hi zusammen,
ich habe leider ein großes Problem, mein AntiVir bringt mir einige Viren (Trojaner) Meldungen. Ich weis leider nicht, wie ich diese beseitigen kann. Ich hoffe ihr könnt mir helfen!!!
Ich habe alle .txt Dateien wie beschrieben als Zip angefügt. Außerdem noch mein AntiVir Bericht.
Danke euch im Voraus
Grüße Phlipp

cosinus · 30.01.2011, 20:50

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Phlipp · 31.01.2011, 19:36

Hi, hier die Log Datei vom Voll Scan
(AntiVir hat die Trojaner bereits in Quarantäne)

PHP-Code:

  Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 
Datenbank Version: 5634

 
Windows 5.1.2600 Service Pack 2

Internet Explorer 7.0.5730.11

 
31.01.2011 19:20:31

mbam-log-2011-01-31 (19-20-31).txt

 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 258613

Laufzeit: 1 Stunde(n), 9 Minute(n), 49 Sekunde(n)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

cosinus · 31.01.2011, 19:45

Zitat:

Datenbank Version: 5634

Ich glaube du hast vorher nicht aktualisiert...
Gibts es noch weitere Logs von MBAM? Wenn ja bitte alles posten was im Reiter Logdateien ist.

Phlipp · 31.01.2011, 19:54

Hey, sorry hab noch nicht aktualisiert. Mache ich gleich noch. Hier tzrotzdem die Log Datei von vorgestern:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5634

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

29.01.2011 16:54:44
mbam-log-2011-01-29 (16-54-44).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 198455
Laufzeit: 14 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Phlipp · 31.01.2011, 21:40

Jetzt die neue Log Datei:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5649

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

31.01.2011 21:37:00
mbam-log-2011-01-31 (21-36-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 258975
Laufzeit: 57 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 31.01.2011, 21:52

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O33 - MountPoints2\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\Shell - "" = AutoRun
O33 - MountPoints2\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{198908e3-0f44-11e0-9dec-0009dd509096}\Shell - "" = AutoRun
O33 - MountPoints2\{198908e3-0f44-11e0-9dec-0009dd509096}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{198908e3-0f44-11e0-9dec-0009dd509096}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{1fd915a0-df81-11df-9d73-0009dd509096}\Shell - "" = AutoRun
O33 - MountPoints2\{1fd915a0-df81-11df-9d73-0009dd509096}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1fd915a0-df81-11df-9d73-0009dd509096}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{5330f772-2718-11e0-9e31-000bdb53d26d}\Shell - "" = AutoRun
O33 - MountPoints2\{5330f772-2718-11e0-9e31-000bdb53d26d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5330f772-2718-11e0-9e31-000bdb53d26d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\Shell - "" = AutoRun
O33 - MountPoints2\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\Shell - "" = AutoRun
O33 - MountPoints2\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\Shell - "" = AutoRun
O33 - MountPoints2\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{81084b3c-ffb3-11df-9dc8-0009dd509096}\Shell - "" = AutoRun
O33 - MountPoints2\{81084b3c-ffb3-11df-9dc8-0009dd509096}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{81084b3c-ffb3-11df-9dc8-0009dd509096}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{c1feac2e-f2ff-11de-9b31-0009dd509096}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe
O33 - MountPoints2\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\Shell - "" = AutoRun
O33 - MountPoints2\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
[2009.07.12 12:01:13 | 001,885,888 | ---- | M] (Microsoft Corporation) -- C:\langpack.exe
[2010.01.08 08:18:16 | 000,000,044 | ---- | M] () -- C:\start.bat
[2010.01.22 17:39:16 | 000,000,171 | ---- | M] () -- C:\start_de_DE.bat
@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164
:Files
C:\*.jar
C:\*.kml
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Phlipp · 31.01.2011, 22:58

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{099a0cbc-593b-11df-9c4e-000bdb53d26d}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{198908e3-0f44-11e0-9dec-0009dd509096}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{198908e3-0f44-11e0-9dec-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{198908e3-0f44-11e0-9dec-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{198908e3-0f44-11e0-9dec-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{198908e3-0f44-11e0-9dec-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{198908e3-0f44-11e0-9dec-0009dd509096}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1fd915a0-df81-11df-9d73-0009dd509096}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1fd915a0-df81-11df-9d73-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1fd915a0-df81-11df-9d73-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1fd915a0-df81-11df-9d73-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1fd915a0-df81-11df-9d73-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1fd915a0-df81-11df-9d73-0009dd509096}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5330f772-2718-11e0-9e31-000bdb53d26d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5330f772-2718-11e0-9e31-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5330f772-2718-11e0-9e31-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5330f772-2718-11e0-9e31-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5330f772-2718-11e0-9e31-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5330f772-2718-11e0-9e31-000bdb53d26d}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b1baaf1-7211-11dd-96fc-000bdb53d26d}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b1baaf3-7211-11dd-96fc-000bdb53d26d}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c7bc88a-3e2d-11df-9bfc-000bdb53d26d}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81084b3c-ffb3-11df-9dc8-0009dd509096}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{81084b3c-ffb3-11df-9dc8-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81084b3c-ffb3-11df-9dc8-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{81084b3c-ffb3-11df-9dc8-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81084b3c-ffb3-11df-9dc8-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{81084b3c-ffb3-11df-9dc8-0009dd509096}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c1feac2e-f2ff-11de-9b31-0009dd509096}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c1feac2e-f2ff-11de-9b31-0009dd509096}\ not found.
File E:\InstallTomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ec01b24c-1cb1-11df-9bb2-0009dd509096}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
C:\langpack.exe moved successfully.
C:\start.bat moved successfully.
C:\start_de_DE.bat moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164 deleted successfully.
========== FILES ==========
C:\kuepla.jar moved successfully.
C:\Bitche Tour.kml moved successfully.
C:\Davos Weissfluhjoch.kml moved successfully.
C:\Davos_1.kml moved successfully.
C:\Davos_2.kml moved successfully.
C:\Grand Ventron.kml moved successfully.
C:\HiddenTremalzo.kml moved successfully.
C:\La Petite Pierre.kml moved successfully.
C:\Niederbronn2.kml moved successfully.
C:\Saverne.kml moved successfully.
C:\Wissembourg.kml moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 34770 bytes
->Temporary Internet Files folder emptied: 2662168 bytes
->Flash cache emptied: 405 bytes

User: Administrator.IVO.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 111826 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
->Flash cache emptied: 41 bytes

User: Hermann
->Temp folder emptied: 772883108 bytes
->Temporary Internet Files folder emptied: 118798745 bytes
->Java cache emptied: 69235467 bytes
->FireFox cache emptied: 58936564 bytes
->Flash cache emptied: 4149115 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Philipp

User: root.IVO
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 118916 bytes

User: user1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 111826 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19631 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 112948503 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.087,00 mb

OTL by OldTimer - Version 3.2.20.6 log created on 01312011_223708

Files\Folders moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_48c.dat moved successfully.

Registry entries deleted on Reboot...

cosinus · 01.02.2011, 10:08

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Phlipp · 01.02.2011, 20:28

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-31.02 - Hermann 01.02.2011  20:18:33.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.510.315 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Hermann\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\conf
c:\conf\path.ini
c:\dokumente und einstellungen\Hermann\Anwendungsdaten\chrtmp
c:\windows\system32\drivers\etc\lmhosts
c:\windows\system32\hkcmd.exe
c:\windows\system32\zlibwapi.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-01 bis 2011-02-01  ))))))))))))))))))))))))))))))
.

2011-01-29 15:23 . 2011-01-29 15:23	--------	d-----w-	c:\dokumente und einstellungen\Hermann\Anwendungsdaten\Malwarebytes
2011-01-29 15:23 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-29 15:23 . 2011-01-29 15:23	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-29 15:23 . 2011-01-29 15:23	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-29 15:23 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-29 12:38 . 2011-01-29 14:50	--------	d-----w-	c:\windows\system32\NtmsData
2011-01-29 11:51 . 2011-01-29 11:51	--------	d-----w-	c:\dokumente und einstellungen\Hermann\Anwendungsdaten\Avira
2011-01-29 11:37 . 2010-12-13 07:39	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-01-29 11:37 . 2010-12-13 07:39	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-01-29 11:37 . 2010-06-17 13:27	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-01-29 11:37 . 2010-06-17 13:27	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-01-29 11:37 . 2011-01-29 11:37	--------	d-----w-	c:\programme\Avira
2011-01-29 11:37 . 2011-01-29 11:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-01-29 11:12 . 2011-01-29 11:28	--------	d-----w-	c:\programme\AntiVir

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 18:27 . 2010-05-03 18:27	278160	----a-w-	c:\programme\zulusetup.exe
2010-01-07 13:39 . 2010-01-07 13:39	2025768	----a-w-	c:\programme\SkypeSetup.exe
2006-05-03 09:06	163328	--sh--r-	c:\windows\SYSTEM32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\SYSTEM32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\SYSTEM32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-26 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-3-14 2938184]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Printkey2000.lnk - c:\programme\PrintKey2000\Printkey2000.exe [2004-10-7 869376]
STVSPCButton.lnk - c:\windows\STVSPCButton.exe [2010-1-7 53248]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Philips\\Intelligent Agent\\Philips Intelligent Agent.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3068:TCP"= 3068:TCP:zopst

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.01.2011 12:37 135336]
R2 ASFAgent;ASF Agent;c:\programme\Intel\ASF Agent\ASFAgent.exe [10.02.2003 04:52 114688]
R2 AsfAlrt;AsfAlrt;c:\windows\SYSTEM32\DRIVERS\Asfalrt.sys [18.12.2002 04:31 36064]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 15:41 92008]
R3 phaudlwr;Philips Audio Filter;c:\windows\SYSTEM32\DRIVERS\phaudlwr.sys [07.01.2010 12:13 88704]
R3 SPC640;Philips SPC640NC PC Camera;c:\windows\SYSTEM32\DRIVERS\SPC640.sys [07.01.2010 12:25 487424]
R3 SPC640m;Philips SPC640NC PC Cameram;c:\windows\SYSTEM32\DRIVERS\SPC640m.sys [07.01.2010 12:25 7680]
R3 stdriver;Sound Tap Upper Class Filter Driver v2.0.0.0;c:\windows\SYSTEM32\DRIVERS\stdriver32.sys [03.05.2010 19:31 39480]
S2 cmwqmaa;System Driver;c:\windows\system32\svchost.exe -k netsvcs [29.08.2002 05:00 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.01.2010 18:11 135664]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
cmwqmaa
.
Inhalt des "geplante Tasks" Ordners

2011-02-01 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-26 16:33]

2011-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-08 17:11]

2011-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-08 17:11]

2010-05-03 c:\windows\Tasks\mixpadSevenDaysInit.job
- c:\programme\NCH Swift Sound\MixPad\mixpad.exe [2010-05-03 18:31]

2004-09-29 c:\windows\Tasks\mixpadShakeIcon.job
- c:\programme\NCH Swift Sound\MixPad\mixpad.exe [2010-05-03 18:31]

2004-09-29 c:\windows\Tasks\soundtapShakeIcon.job
- c:\programme\NCH Swift Sound\SoundTap\soundtap.exe [2010-05-03 18:31]

2010-08-21 c:\windows\Tasks\switchDowngrade.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-05-03 18:31]

2010-08-21 c:\windows\Tasks\switchShakeIcon.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-05-03 18:31]

2010-09-03 c:\windows\Tasks\wavepadDowngrade.job
- c:\programme\NCH Swift Sound\WavePad\wavepad.exe [2010-05-03 18:30]

2004-09-29 c:\windows\Tasks\wavepadShakeIcon.job
- c:\programme\NCH Swift Sound\WavePad\wavepad.exe [2010-05-03 18:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Hermann\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
Trusted Zone: %22google.com
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Hermann\Anwendungsdaten\Mozilla\Firefox\Profiles\gj85hx8n.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {B13721C7-F507-4982-B2E5-502A71474FED} - c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-igfxhkcmd - c:\windows\system32\hkcmd.exe
HKLM-Run-HotKeysCmds - c:\windows\system32\hkcmd.exe
HKLM-Run-ITSecMng - %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-01 20:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)
.
Zeit der Fertigstellung: 2011-02-01  20:25:55
ComboFix-quarantined-files.txt  2011-02-01 19:25

Vor Suchlauf: 7.826.198.528 Bytes frei
Nach Suchlauf: 7.780.249.600 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - B79889849DAA4E0397927603CECC43DA

--- --- ---

cosinus · 01.02.2011, 20:35

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Netsvc::
cmwqmaa

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Phlipp · 01.02.2011, 22:15

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-31.02 - Hermann 01.02.2011  22:03:58.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.510.346 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Hermann\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Hermann\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-01 bis 2011-02-01  ))))))))))))))))))))))))))))))
.

2011-02-01 19:02 . 2011-02-01 19:02	--------	d-----w-	c:\programme\CCleaner
2011-01-31 21:37 . 2011-01-31 21:37	--------	d-----w-	C:\_OTL
2011-01-29 15:35 . 2011-01-29 15:36	--------	d-----w-	c:\programme\ERUNT
2011-01-29 15:23 . 2011-01-29 15:23	--------	d-----w-	c:\dokumente und einstellungen\Hermann\Anwendungsdaten\Malwarebytes
2011-01-29 15:23 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-29 15:23 . 2011-01-29 15:23	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-29 15:23 . 2011-01-29 15:23	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-29 15:23 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-29 12:38 . 2011-01-29 14:50	--------	d-----w-	c:\windows\system32\NtmsData
2011-01-29 11:51 . 2011-01-29 11:51	--------	d-----w-	c:\dokumente und einstellungen\Hermann\Anwendungsdaten\Avira
2011-01-29 11:37 . 2010-12-13 07:39	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-01-29 11:37 . 2010-12-13 07:39	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-01-29 11:37 . 2010-06-17 13:27	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-01-29 11:37 . 2010-06-17 13:27	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-01-29 11:37 . 2011-01-29 11:37	--------	d-----w-	c:\programme\Avira
2011-01-29 11:37 . 2011-01-29 11:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-01-29 11:12 . 2011-01-29 11:28	--------	d-----w-	c:\programme\AntiVir

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 18:27 . 2010-05-03 18:27	278160	----a-w-	c:\programme\zulusetup.exe
2010-01-07 13:39 . 2010-01-07 13:39	2025768	----a-w-	c:\programme\SkypeSetup.exe
2006-05-03 09:06	163328	--sh--r-	c:\windows\SYSTEM32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\SYSTEM32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\SYSTEM32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-26 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-3-14 2938184]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Printkey2000.lnk - c:\programme\PrintKey2000\Printkey2000.exe [2004-10-7 869376]
STVSPCButton.lnk - c:\windows\STVSPCButton.exe [2010-1-7 53248]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Philips\\Intelligent Agent\\Philips Intelligent Agent.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3068:TCP"= 3068:TCP:zopst

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.01.2011 12:37 135336]
R2 ASFAgent;ASF Agent;c:\programme\Intel\ASF Agent\ASFAgent.exe [10.02.2003 04:52 114688]
R2 AsfAlrt;AsfAlrt;c:\windows\SYSTEM32\DRIVERS\Asfalrt.sys [18.12.2002 04:31 36064]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 15:41 92008]
R3 phaudlwr;Philips Audio Filter;c:\windows\SYSTEM32\DRIVERS\phaudlwr.sys [07.01.2010 12:13 88704]
R3 SPC640;Philips SPC640NC PC Camera;c:\windows\SYSTEM32\DRIVERS\SPC640.sys [07.01.2010 12:25 487424]
R3 SPC640m;Philips SPC640NC PC Cameram;c:\windows\SYSTEM32\DRIVERS\SPC640m.sys [07.01.2010 12:25 7680]
R3 stdriver;Sound Tap Upper Class Filter Driver v2.0.0.0;c:\windows\SYSTEM32\DRIVERS\stdriver32.sys [03.05.2010 19:31 39480]
S2 cmwqmaa;System Driver;c:\windows\system32\svchost.exe -k netsvcs [29.08.2002 05:00 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.01.2010 18:11 135664]
.
Inhalt des "geplante Tasks" Ordners

2011-02-01 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-26 16:33]

2011-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-08 17:11]

2011-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-08 17:11]

2010-05-03 c:\windows\Tasks\mixpadSevenDaysInit.job
- c:\programme\NCH Swift Sound\MixPad\mixpad.exe [2010-05-03 18:31]

2004-09-29 c:\windows\Tasks\mixpadShakeIcon.job
- c:\programme\NCH Swift Sound\MixPad\mixpad.exe [2010-05-03 18:31]

2004-09-29 c:\windows\Tasks\soundtapShakeIcon.job
- c:\programme\NCH Swift Sound\SoundTap\soundtap.exe [2010-05-03 18:31]

2010-08-21 c:\windows\Tasks\switchDowngrade.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-05-03 18:31]

2010-08-21 c:\windows\Tasks\switchShakeIcon.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-05-03 18:31]

2010-09-03 c:\windows\Tasks\wavepadDowngrade.job
- c:\programme\NCH Swift Sound\WavePad\wavepad.exe [2010-05-03 18:30]

2004-09-29 c:\windows\Tasks\wavepadShakeIcon.job
- c:\programme\NCH Swift Sound\WavePad\wavepad.exe [2010-05-03 18:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Hermann\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
Trusted Zone: %22google.com
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Hermann\Anwendungsdaten\Mozilla\Firefox\Profiles\gj85hx8n.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {B13721C7-F507-4982-B2E5-502A71474FED} - c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-01 22:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(156)
c:\windows\system32\ieframe.dll
.
Zeit der Fertigstellung: 2011-02-01  22:12:54
ComboFix-quarantined-files.txt  2011-02-01 21:12
ComboFix2.txt  2011-02-01 19:25

Vor Suchlauf: 7.793.856.512 Bytes frei
Nach Suchlauf: 7.777.525.760 Bytes frei

- - End Of File - - A26CD39DE523D1A02BECB95800790CFF

--- --- ---

cosinus · 01.02.2011, 22:42

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Phlipp · 03.02.2011, 20:39

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:39:54 on 03.02.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.5730.11

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"mixpadSevenDaysInit.job" - "NCH Software" - C:\Programme\NCH Swift Sound\MixPad\mixpad.exe
"mixpadShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\MixPad\mixpad.exe
"soundtapShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\SoundTap\soundtap.exe
"switchDowngrade.job" - "NCH Software" - C:\Programme\NCH Swift Sound\Switch\switch.exe
"switchShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\Switch\switch.exe
"wavepadDowngrade.job" - "NCH Software" - C:\Programme\NCH Swift Sound\WavePad\wavepad.exe
"wavepadShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\WavePad\wavepad.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"igfxcpl.cpl" - "Intel Corporation" - C:\WINDOWS\system32\igfxcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"LocalCOM.cpl" - "TOSHIBA CORPORATION" - C:\WINDOWS\system32\LocalCOM.cpl
"PRApplet.cpl" - "Intel(R) Corporation" - C:\WINDOWS\system32\PRApplet.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AsfAlrt" (AsfAlrt) - "Intel Corporation" - C:\WINDOWS\System32\drivers\AsfAlrt.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Hermann\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"grmnusb" (grmnusb) - "GARMIN Corp." - C:\WINDOWS\System32\drivers\grmnusb.sys
"iAimTV2" (iAimTV2) - ? - C:\WINDOWS\System32\DRIVERS\wATV03nt.sys  (File not found)
"ialm" (ialm) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\ialmnt5.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"OMCI WDM Device Driver" (omci) - "Dell Computer Corporation" - C:\WINDOWS\System32\DRIVERS\omci.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"Sound Tap Upper Class Filter Driver v2.0.0.0" (stdriver) - "NCH Software" - C:\WINDOWS\System32\DRIVERS\stdriver32.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{79BC0345-1015-11D2-A299-006008312725} "blue.shell" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file:///C:/WINDOWS/Java/classes/xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Bluetooth Manager.lnk" - "TOSHIBA CORPORATION." - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe  (Shortcut exists | File exists)
"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)
"Printkey2000.lnk" - "Fred's Software" - C:\Programme\PrintKey2000\Printkey2000.exe  (Shortcut exists | File exists)
"STVSPCButton.lnk" - "STMicroelectronics" - C:\WINDOWS\STVSPCButton.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\Hermann\Startmenü\Programme\Autostart\DESKTOP.INI
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ArcSoft Connection Service" - "ArcSoft Inc." - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"igfxtray" - "Intel Corporation" - C:\WINDOWS\system32\igfxtray.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Toshiba Bluetooth Monitor" - "TOSHIBA CORPORATION." - C:\WINDOWS\system32\tbtmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ArcSoft Connect Daemon" (ACDaemon) - "ArcSoft Inc." - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
"ASF Agent" (ASFAgent) - "Intel Corporation" - C:\Programme\Intel\ASF Agent\ASFAgent.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Iap" (Iap) - "Dell Computer Corporation" - C:\Programme\Dell\OpenManage\Client\Iap.exe
"Intel NCS NetService" (NetSvc) - "Intel(R) Corporation" - C:\Programme\Intel\NCS\Sync\NetSvc.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"System Driver" (cmwqmaa) - ? - C:\WINDOWS\system32\oloohcy.dll  (File not found)
"TomTomHOMEService" (TomTomHOMEService) - "TomTom" - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
"TOSHIBA Bluetooth Service" (TOSHIBA Bluetooth Service) - "TOSHIBA CORPORATION" - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"igfxcui" - "Intel Corporation" - C:\WINDOWS\system32\igfxsrvc.dll
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Phlipp · 03.02.2011, 20:40

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0080000d

Kernel Drivers (total 124):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806ED000 \WINDOWS\system32\hal.dll
0xF8A38000 \WINDOWS\system32\KDCOM.DLL
0xF8948000 \WINDOWS\system32\BOOTVID.dll
0xF84E8000 ACPI.sys
0xF8A3A000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF84D7000 pci.sys
0xF8538000 isapnp.sys
0xF8B00000 pciide.sys
0xF87B8000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF8548000 MountMgr.sys
0xF84B8000 ftdisk.sys
0xF8A3C000 dmload.sys
0xF8492000 dmio.sys
0xF87C0000 PartMgr.sys
0xF8558000 VolSnap.sys
0xF847A000 atapi.sys
0xF8568000 disk.sys
0xF8578000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF845A000 fltmgr.sys
0xF8448000 sr.sys
0xF8431000 KSecDD.sys
0xF83A4000 Ntfs.sys
0xF8377000 NDIS.sys
0xF835C000 Mup.sys
0xF8588000 agp440.sys
0xF8748000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF8041000 \SystemRoot\System32\DRIVERS\ialmnt5.sys
0xF802D000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF87D8000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF800A000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF87E0000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF7FEC000 \SystemRoot\System32\DRIVERS\e1000325.sys
0xF87E8000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF8758000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF87F0000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF87F8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7FDB000 \SystemRoot\System32\DRIVERS\serial.sys
0xF8A14000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF7FC7000 \SystemRoot\System32\DRIVERS\parport.sys
0xF8768000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF8778000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF7FA4000 \SystemRoot\System32\DRIVERS\ks.sys
0xF7F1E000 \SystemRoot\system32\drivers\smwdm.sys
0xF7EFA000 \SystemRoot\system32\drivers\portcls.sys
0xF8788000 \SystemRoot\system32\drivers\drmk.sys
0xF8A66000 \SystemRoot\system32\drivers\aeaudio.sys
0xF8798000 \SystemRoot\system32\DRIVERS\stdriver32.sys
0xF87A8000 \SystemRoot\System32\Drivers\tosrfcom.sys
0xF8B5B000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF85A8000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF8A24000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF7EE3000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF85B8000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF85C8000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF8800000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF7ED2000 \SystemRoot\System32\DRIVERS\psched.sys
0xF85D8000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF8808000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF8810000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF7EA1000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF85E8000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF8A68000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF7E04000 \SystemRoot\System32\DRIVERS\update.sys
0xF8818000 \SystemRoot\System32\DRIVERS\omci.sys
0xF831F000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF8728000 \SystemRoot\system32\DRIVERS\tosporte.sys
0xF86E8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7CF1000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF8A7C000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF8900000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF8A8E000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF88E0000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xF8A90000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8B41000 \SystemRoot\System32\Drivers\Null.SYS
0xF8A92000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8910000 \SystemRoot\System32\drivers\vga.sys
0xF8A94000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8A96000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8918000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8920000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8A10000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xEE319000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xEE2C1000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xEE299000 \SystemRoot\System32\DRIVERS\netbt.sys
0xEE277000 \SystemRoot\System32\drivers\afd.sys
0xF7AD0000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF8928000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEE24C000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xEE1DD000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF7A90000 \SystemRoot\System32\Drivers\Fips.SYS
0xEE1BC000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF7A80000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xECE79000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xEBA02000 \SystemRoot\system32\drivers\SPC640.sys
0xF8A50000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xEBBD5000 \SystemRoot\system32\drivers\SPC640m.sys
0xEC24C000 \SystemRoot\system32\drivers\STREAM.SYS
0xEC441000 \SystemRoot\system32\DRIVERS\phaudlwr.sys
0xEC23C000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xEBCFC000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xEC22C000 \SystemRoot\system32\drivers\usbaudio.sys
0xEC1DC000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEB993000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A8A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xEDC50000 \SystemRoot\System32\drivers\Dxapi.sys
0xED094000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8B27000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF03F000 \SystemRoot\System32\ialmdev5.DLL
0xBF06B000 \SystemRoot\System32\ialmdd5.DLL
0xBA7EB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF8AA0000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF8878000 \??\C:\WINDOWS\System32\drivers\AsfAlrt.sys
0xBA67C000 \SystemRoot\System32\DRIVERS\srv.sys
0xBA659000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF7BCA000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xBA33E000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xBA329000 \SystemRoot\system32\drivers\wdmaud.sys
0xEDF11000 \SystemRoot\system32\drivers\sysaudio.sys
0x7C910000 \WINDOWS\SYSTEM32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
592 C:\WINDOWS\SYSTEM32\smss.exe
656 csrss.exe
684 C:\WINDOWS\SYSTEM32\winlogon.exe
728 C:\WINDOWS\SYSTEM32\services.exe
740 C:\WINDOWS\SYSTEM32\lsass.exe
916 C:\WINDOWS\SYSTEM32\svchost.exe
992 svchost.exe
1100 C:\WINDOWS\SYSTEM32\svchost.exe
1148 svchost.exe
1256 svchost.exe
1328 C:\WINDOWS\SYSTEM32\spoolsv.exe
1376 C:\Programme\Avira\AntiVir Desktop\sched.exe
1468 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
1480 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1496 C:\Programme\Intel\ASF Agent\ASFAgent.exe
1644 C:\Programme\Dell\OpenManage\Client\Iap.exe
1664 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1676 C:\Programme\Java\jre6\bin\jqs.exe
1804 C:\WINDOWS\SYSTEM32\snmp.exe
1944 C:\WINDOWS\SYSTEM32\svchost.exe
1956 C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
1992 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
1724 wmiprvse.exe
3016 alg.exe
2672 C:\WINDOWS\explorer.exe
2928 C:\WINDOWS\SYSTEM32\igfxtray.exe
3008 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
3056 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
3076 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
3084 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
3116 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
3212 C:\WINDOWS\SYSTEM32\ctfmon.exe
3296 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
3328 C:\Programme\PrintKey2000\Printkey2000.exe
3352 C:\WINDOWS\STVSPCButton.exe
3696 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
3744 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
3784 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
2788 C:\Programme\Mozilla Firefox\firefox.exe
508 C:\WINDOWS\SYSTEM32\notepad.exe
732 C:\Dokumente und Einstellungen\Hermann\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`02738a00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006`1128c000 (NTFS)

PhysicalDrive0 Model Number: WDCWD400BB-75JHC0, Rev: 06.01C06

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

Spy.Agent.zcb u. Dropper.Gen bei AntiVir gefunden

Plagegeister aller Art und deren Bekämpfung: Spy.Agent.zcb u. Dropper.Gen bei AntiVir gefunden