System Tool und evtl. andere Malware (PUP.Dealio) – (nur?) Benutzerkonto betroffen

nhj · 22.02.2011, 00:34

Liebes Team vom Trojaner-Board,

ich hoffe auf Eure kompetente Hilfe. Vermutlich am vergangenen Wochenende habe ich mir System Tool eingefangen; beim Versuch, das zu beseitigen bin ich dann auf andere Malware gestoßen, die ich vermutlich schon vorher hatte.
Da ich Admin- und Benutzerkonto weitestgehend getrennt halte (manchmal führe ich Sachen unter Benutzerkonto mit Passwort als Admin aus, wenn ich nicht wechseln möchte), war nur mein Benutzerkonto von System Tool betroffen. Da ich auf Eure Anleitung nicht gleich gestoßen war bzw. ich mir unsicher war, ob es nicht vielleicht einen Unterschied macht, dass anscheinend nur das Benutzerkonto betroffen war, bin ich (noch) nicht Eurer Standardanleitung gefolgt. Außerdem weiß ich nicht genau, von welchem Konto aus man Malwarebytes / andere AntiMalwareprogramme jeweils laufen lassen muss.
Nach der Infektion bin ich nach einem Neustart in mein Admin Konto gegangen, das normal funktioniert hat. Von dem aus habe ich dann Malwarebytes laufen lassen, das die entsprechende exe-Datei auch gefunden und gelöscht hat. Zwar wurden noch weitere gefunden, die habe ich aber nicht gelöscht, weil Malwarebytes nur die eine Datei vorgeschlagen hatte:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5817

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.02.2011 12:57:29
mbam-log-2011-02-20 (12-57-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 300308
Laufzeit: 1 Stunde(n), 15 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 1204 -> Not selected for removal.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Not selected for removal.
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\MOZILLA FIREFOX\EXTENSIONS\SEARCHSETTINGS@SPIGOT.COM (PUP.Dealio) -> Value: SEARCHSETTINGS@SPIGOT.COM -> Not selected for removal.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Not selected for removal.
c:\programme\pdfforge toolbar\searchsettingsres409.dll (PUP.Dealio) -> Not selected for removal.
c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Not selected for removal.
c:\programme\pdfforge toolbar\IE\1.1.2\pdfforgetoolbarie.dll (PUP.Dealio) -> Not selected for removal.
c:\programme\pdfforge toolbar\searchsettings.exe (PUP.Dealio) -> Not selected for removal.
c:\programme\pdfforge toolbar\searchsettings.dll (PUP.Dealio) -> Not selected for removal.
c:\programme\mozilla firefox\extensions\searchsettings@spigot.com (PUP.Dealio) -> Not selected for removal.
c:\dokumente und einstellungen\all users\anwendungsdaten\endidcj06504\endidcj06504.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Dann bin ich nochmal auf mein Benutzerkonto gegangen, wo der Spuk dann zumindest oberflächlich vorbei war. Ich habe nochmal von meinem Benutzerkonto aus Gridin¬Soft Tro¬jan Kil¬ler (Trial) drüberlaufen lassen (Tipp aus einem anderen Forum bzw. Blog). Der hat mir dann weitere Probleme angezeigt (private Daten im Logfile habe ich „anonymisiert“):

Zitat:

GridinSoft Trojan Killer v.2.0.8.8
Report file date: 20.02.2011 13:12:28

Scanning for 606009 virus strains and unwanted programs.

Licensed: UNREGISTERED
Windows version: Microsoft Windows XP (version 5.1)
Username: Hans Mustermann
Computer name: Hans Mustermann

Starting the file scan:

Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll ---- BHO
Threat
pdfforge Toolbar
MD5: 1C87D50F3792BB26F316FC70F7389157:700416
EP: 8B FF 55 8B EC 83 7D 0C 01 75 05 E8 31 03 00 00 FF 75 08 8B 4D 10 8B 55 0C E8 CC FE FF FF 59 5D C2 0C 00 FF 25 4C 73 04 10 CC CC 51 8D 4C 24 08 2B C8 83 E1 0F 03 C1 1B C9 0B C1 59 E9 9A 03 00 00
SEC:
.text:2058218935C00F8F9A423EABED85C16E:285696
.rdata:603EB6899A59DC45DF92FF41C1BD5548:98816
.data:284F40A0C00317EE1D6933805135C5B2:15360
.rsrc:832AAF769BC1439DFFFE40BE6A4FF7F5:263168
.reloc:640F6F585B11E58601417BBB23F95FE1:36352

----- C:\Programme\pdfforge Toolbar\SearchSettings.dll ---- BHO
Threat

MD5: B2370F9E01367E37D6A5F3BE1A02E1D1:1109504
EP: 55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 85 F6 75 09 83 3D E0 2A 10 10 00 EB 26 83 FE 01 74 05 83 FE 02 75 22 A1 EC 2A 10 10 85 C0 74 09 57 56 53 FF D0 85 C0 74 0C 57 56 53 E8 15 FF FF FF 85
SEC:
.text:7B87EACF6DEA30CAF1BE9BB2A10777F2:580096
.rdata:A0250634427485E27B1C6B75340143EF:60416
.data:F3D802805CAEAB2FD209AD316C1F0311:407040
.rsrc:8C148B6D7BCFF1177C2577D2E4977BE6:7168
.reloc:9469D1720D7F2E0F8CD789F02E80EA82:53760

----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman" ---- Registry
riskware.x

----- C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\xxx\xxx\xxx.pdf ---- General
PDF.Exploit
MD5: 05EEDBD6B5D28B27200B776FCF06E431:382802
EP: 00
SEC:

----- C:\Dokumente und Einstellungen\Hans Mustermann\xxx\xxx\xxx.pdf ---- General
PDF.Exploit
MD5: 63854BA0C07550C6EED38997AFD66056:55623
EP: 00
SEC:

----- C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Temp\xxx.pdf ---- General
PDF.Exploit
MD5: B551CCA90F669B6E7DEA9D835C462F8A:252550
EP: 00
SEC:

----- C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Temp\xxx.pdf ---- General
PDF.Exploit
MD5: B551CCA90F669B6E7DEA9D835C462F8A:252550
EP: 00
SEC:

Scan completed!

Scan result: 7 detected items
Scan completed in: Scan completed in 16 minute(s) 37 sec.
Files were scanned: 11084

So weit, so „gut“. Da Malwarebytes noch mehr gefunden hatte, habe ich danach von meinem Benutzerkonto aus einen Scan gemacht (bei dem Malwarebytes übrigens seltsamerweise Englisch als Sprache eingestellt hatte und nicht Deutsch wie beim Admin Konto), das Gefundene zum Löschen angegeben und wie vorgeschlagen neu gestartet. U.a. wurde mir pdfforge Toolbar u.Ä. als Malware angezeigt. Hierbei konnte jedoch wohl nicht alles gelöscht werden (vgl. Logfile):

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5817

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.02.2011 19:28:18
mbam-log-2011-02-21 (19-28-18).txt

Scan type: Full scan (C:\|)
Objects scanned: 246315
Time elapsed: 45 minute(s), 51 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 1
Registry Keys Infected: 9
Registry Values Infected: 8
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7

Memory Processes Infected:
c:\programme\pdfforge toolbar\searchsettings.exe (PUP.Dealio) -> 3868 -> Failed to unload process.

Memory Modules Infected:
c:\programme\pdfforge toolbar\searchsettingsres409.dll (PUP.Dealio) -> Delete on reboot.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\MOZILLA FIREFOX\EXTENSIONS\SEARCHSETTINGS@SPIGOT.COM (PUP.Dealio) -> Value: SEARCHSETTINGS@SPIGOT.COM -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\programme\pdfforge toolbar\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettingsres409.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\1.1.2\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\mozilla firefox\extensions\searchsettings@spigot.com (PUP.Dealio) -> Quarantined and deleted successfully.

Daher bin ich als nächstes in mein Admin Konto gegangen, habe nochmal geupdated und bei gleichzeitig angemeldetem Benutzerkonto einen Scan durchgeführt. Alles Gefundene habe ich löschen lassen, Inhalt des Logfiles:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5831

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.02.2011 21:31:39
mbam-log-2011-02-21 (21-31-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 301188
Laufzeit: 1 Stunde(n), 11 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 784 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\1.1.2\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettingsres409.dll (PUP.Dealio) -> Quarantined and deleted successfully.

Nach Neustart und weiterem vollständigem Suchlauf wurde nichts mehr von Malwarebytes gefunden, Logfile:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5831

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.02.2011 22:48:46
mbam-log-2011-02-21 (22-48-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 300664
Laufzeit: 1 Stunde(n), 9 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier noch die Ergebnisse von OTL:

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 21.02.2011 23:57:39 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\Hans Mustermann\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 207,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,55 Gb Total Space | 21,02 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
Drive E: | 959,72 Mb Total Space | 498,81 Mb Free Space | 51,97% Space Free | Partition Type: FAT
 
Computer Name: Hans Mustermann | User Name: Hans Mustermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{05440044-64A6-4248-A026-9745C1E9E159}" = Microsoft Encarta Enzyklopädie 2005
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1E3C70CC-A33A-4EAF-965A-08A44E1F9976}_is1" = XP RegTune 2.38
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 20
"{2808E975-BD01-47DD-9852-54E3C622BDDC}" = WLAN Monitor
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F262ADC-5AD2-48E5-A586-44315E04A9E2}" = Microsoft Picture It!-Bibliothek 10
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{42756145-9997-4D28-809B-8756BFD00106}" = Microsoft Picture It! Foto Premium 10
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300
"{5791B7D3-8B34-4218-9750-6A8E45D0AD32}" = pdfforge Toolbar v1.1.2
"{67E4EE98-59F4-4220-89A6-A20AF5BEC689}" = Microsoft AutoRoute 2005
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90840407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Excel Viewer 2003
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{90E00409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Outlook 2003
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B93DCF58-AA57-41EC-8D69-B05C66C6312D}_is1" = v2011.build.45
"{BF962E1B-D17A-4713-A100-6531A132D83D}_is1" = Foto-Mosaik-Edda 5.5.0
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{E40268F4-7E9F-4E07-B773-7FF64971F42E}" = WLAN Quick-Starter
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Antioch" = Antioch
"ATI Display Driver" = ATI Display Driver
"avast5" = avast! Free Antivirus
"Digitale Bibliothek 4" = Digitale Bibliothek 4
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"FaJo XP File Security Extension_is1" = FaJo XP File Security Extension v1.2
"ffdshow_is1" = ffdshow [rev 2527] [2008-12-19]
"GoeMobile - Cisco VPN Client" = GoeMobile - Cisco VPN Client 5.0.04.0300
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MiKTeX 2.8" = MiKTeX 2.8
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Pauly-Register Desktop" = Pauly-Register Desktop
"pdfsam" = pdfsam
"PictureItPrem_v10" = Microsoft Picture It! Foto Premium 10
"Shockwave" = Shockwave
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Texmaker" = Texmaker
"VLC media player" = VLC media player 0.9.8a
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WinShell_is1" = WinShell
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Antivirus Events ]
Error - 12.12.2009 07:40:35 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 14.12.2009 04:56:12 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 14.12.2009 11:52:32 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 13.01.2010 06:29:44 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 24.03.2010 06:09:42 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 24.03.2010 10:02:25 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 24.03.2010 10:38:43 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 24.03.2010 12:08:34 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 25.03.2010 03:00:34 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
Error - 25.04.2010 09:03:07 | Computer Name = Hans Mustermann | Source = avast! | ID = 33554522
Description = 
 
[ Application Events ]
Error - 18.02.2011 05:13:42 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 18.02.2011 12:23:10 | Computer Name = Hans Mustermann | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung texmaker.exe, Version 0.0.0.0, fehlgeschlagenes
Modul texmaker.exe, Version 0.0.0.0, Fehleradresse 0x0009c2a1.
 
Error - 18.02.2011 12:42:30 | Computer Name = Hans Mustermann | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung led.exe, Version 0.0.0.0, fehlgeschlagenes
Modul led.exe, Version 0.0.0.0, Fehleradresse 0x0028c162.
 
Error - 18.02.2011 14:52:34 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 18.02.2011 15:16:28 | Computer Name = Hans Mustermann | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.5510.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 19.02.2011 14:09:09 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 20.02.2011 05:17:16 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 20.02.2011 08:09:35 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 21.02.2011 14:30:29 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 21.02.2011 16:33:35 | Computer Name = Hans Mustermann | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 17.02.2011 16:15:26 | Computer Name = Hans Mustermann | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.33 für die Netzwerkkarte mit der Netzwerkadresse
000E359F2BDD wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 17.02.2011 17:39:08 | Computer Name = Hans Mustermann | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.34 für die Netzwerkkarte mit der Netzwerkadresse
000E359F2BDD wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 18.02.2011 14:54:58 | Computer Name = Hans Mustermann | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.34 für die Netzwerkkarte mit der Netzwerkadresse
000E359F2BDD wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 19.02.2011 03:25:27 | Computer Name = Hans Mustermann | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.33 für die Netzwerkkarte mit der Netzwerkadresse
000E359F2BDD wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 20.02.2011 06:24:19 | Computer Name = Hans Mustermann | Source = DCOM | ID = 10010
Description = Der Server "{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 20.02.2011 06:24:50 | Computer Name = Hans Mustermann | Source = DCOM | ID = 10010
Description = Der Server "{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 20.02.2011 06:25:20 | Computer Name = Hans Mustermann | Source = DCOM | ID = 10010
Description = Der Server "{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 20.02.2011 08:00:04 | Computer Name = Hans Mustermann | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde
 
Error - 21.02.2011 16:31:39 | Computer Name = Hans Mustermann | Source = Service Control Manager | ID = 7034
Description = Dienst "Application Updater" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 21.02.2011 16:33:42 | Computer Name = Hans Mustermann | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde
 
 
< End of report >

--- --- ---
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 21.02.2011 23:57:39 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\Hans Mustermann\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 207,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,55 Gb Total Space | 21,02 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
Drive E: | 959,72 Mb Total Space | 498,81 Mb Free Space | 51,97% Space Free | Partition Type: FAT
 
Computer Name: Hans Mustermann| User Name: Hans Mustermann| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Hans Mustermann\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (ALWIL Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (ALWIL Software)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe (AccSys GmbH)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Hans Mustermann\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\SynTPFcs.dll (Synaptics, Inc.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- File not found
SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (ALWIL Software)
SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (ALWIL Software)
SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (ALWIL Software)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (AccWLSvc) -- C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe (AccSys GmbH)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (ALWIL Software)
DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (ALWIL Software)
DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (ALWIL Software)
DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (ALWIL Software)
DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (ALWIL Software)
DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (ALWIL Software)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (accwldrv) -- C:\WINDOWS\system32\drivers\accwldrv.sys (AccSys GmbH)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation )
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (ESDCR) -- C:\WINDOWS\system32\drivers\ESD7SK.sys (ENE Technology Inc.)
DRV - (EMSCR) -- C:\WINDOWS\system32\drivers\EMS7SK.sys (ENE Technology Inc.)
DRV - (ESMCR) -- C:\WINDOWS\system32\drivers\ESM7SK.sys (ENE Technology Inc.)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.31 07:59:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.02.18 20:05:44 | 000,000,000 | ---D | M]
 
[2009.03.03 23:05:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Mozilla\Extensions
[2011.02.19 12:20:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\xeq5o64s.default\extensions
[2010.12.31 14:07:45 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\xeq5o64s.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011.02.19 12:24:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.06.11 17:49:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2009.07.31 12:43:55 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.03.29 15:03:25 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\PROGRAMME\PDFFORGE TOOLBAR\FF
[2010.03.29 15:03:25 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\PROGRAMME\PDFFORGE TOOLBAR\SSFF
[2010.04.12 16:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.18 16:16:06 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.18 16:16:06 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.18 16:16:06 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.18 16:16:06 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.18 16:16:07 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\AvastUI.exe (ALWIL Software)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\Hans Mustermann\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.03.03 14:07:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\Shell - "" = AutoRun
O33 - MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O33 - MountPoints2\{92a3f510-cec8-11df-b127-0040d067ca52}\Shell\AutoRun\command - "" = E:\Launcher.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.21 23:56:46 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hans Mustermann\Desktop\OTL.exe
[2011.02.20 11:35:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Malwarebytes
[2011.02.20 11:35:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.02.20 11:35:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.02.20 11:35:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.02.20 11:35:19 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.02.20 11:35:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.02.20 02:18:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eNdIdCj06504
[2011.02.19 12:40:12 | 000,719,872 | ---- | C] (Abysmal Software) -- C:\WINDOWS\System32\devil.dll
[2011.02.19 12:40:12 | 000,369,152 | ---- | C] (The Public) -- C:\WINDOWS\System32\avisynth.dll
[2011.02.19 12:40:05 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll
[2011.02.19 12:40:05 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\i420vfw.dll
[2011.02.19 12:40:00 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5
[2011.02.19 12:26:49 | 000,216,064 | RHS- | C] (MONOGRAM Multimedia, s.r.o.) -- C:\WINDOWS\System32\nbDX.dll
[2011.02.19 12:26:48 | 000,186,880 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLOgg.ax
[2011.02.19 12:26:48 | 000,179,200 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\DiracSplitter.ax
[2011.02.19 12:26:48 | 000,169,472 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\MatroskaDX.ax
[2011.02.19 12:26:48 | 000,163,328 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\flvDX.dll
[2011.02.19 12:26:48 | 000,161,792 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\RealMediaDX.ax
[2011.02.19 12:26:48 | 000,123,904 | RHS- | C] (CoreCodec) -- C:\WINDOWS\System32\AVCDX.ax
[2011.02.19 12:26:48 | 000,092,672 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLVorbisDec.ax
[2011.02.19 12:26:48 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSSplitter.ax
[2011.02.19 12:26:48 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSDecoder.ax
[2011.02.19 12:26:48 | 000,067,584 | RHS- | C] (RadLight, LLC) -- C:\WINDOWS\System32\RLTheoraDec.ax
[2011.02.19 12:26:48 | 000,031,232 | RHS- | C] (Hans Mayerl) -- C:\WINDOWS\System32\msfDX.dll
[2011.02.19 12:26:08 | 000,278,528 | ---- | C] (Real Networks, Inc) -- C:\WINDOWS\System32\pncrt.dll
[2011.02.19 12:26:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SUPER © v2011.build.45 (Feb 10, 2011)
[2011.02.19 12:20:59 | 000,000,000 | ---D | C] -- C:\Programme\eRightSoft
[2011.02.18 21:11:42 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DESIGNER
[2011.02.18 20:06:06 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mdimon.dll
[2011.02.18 20:05:35 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\L&H
[2011.02.18 20:05:17 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft ActiveSync
[2011.02.18 20:04:59 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Visual Studio
[2011.02.07 15:25:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office
[2011.02.07 15:25:20 | 000,032,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msonpmon.dll
[2011.02.07 15:19:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
[2011.02.07 15:19:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.21 22:14:08 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hans Mustermann\Desktop\OTL.exe
[2011.02.21 21:34:19 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.02.21 21:33:13 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.21 17:52:54 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.20 11:35:23 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.02.19 13:07:26 | 000,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.02.19 12:26:09 | 000,000,733 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPER ©.lnk
[2011.02.18 21:16:15 | 000,270,984 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.18 20:06:09 | 000,000,748 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2011.02.12 17:44:19 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.02.10 09:40:15 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.20 11:35:23 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.02.19 12:40:05 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2011.02.19 12:26:48 | 000,227,328 | RHS- | C] () -- C:\WINDOWS\System32\ac3DX.ax
[2011.02.19 12:26:48 | 000,175,104 | RHS- | C] () -- C:\WINDOWS\System32\CoreAAC.ax
[2011.02.19 12:26:48 | 000,120,832 | RHS- | C] () -- C:\WINDOWS\System32\MPCDx.ax
[2011.02.19 12:26:48 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\RLMPCDec.ax
[2011.02.19 12:26:48 | 000,097,280 | RHS- | C] () -- C:\WINDOWS\System32\FLACDX.ax
[2011.02.19 12:26:48 | 000,081,920 | RHS- | C] () -- C:\WINDOWS\System32\aac_parser.ax
[2011.02.19 12:26:48 | 000,070,656 | RHS- | C] () -- C:\WINDOWS\System32\RLAPEDec.ax
[2011.02.19 12:26:48 | 000,051,712 | RHS- | C] () -- C:\WINDOWS\System32\RLSpeexDec.ax
[2011.02.19 12:26:09 | 000,000,733 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPER ©.lnk
[2011.02.12 17:44:19 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.12.12 10:18:48 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.10 14:58:09 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.03.24 23:35:03 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2009.03.10 21:53:21 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.03.04 09:20:03 | 000,001,118 | ---- | C] () -- C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\wklnhst.dat
[2009.03.04 08:34:56 | 000,000,748 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.03.03 16:29:13 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2009.03.03 16:25:48 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2009.03.03 16:17:54 | 000,356,352 | ---- | C] () -- C:\WINDOWS\System32\EMCRI.dll
[2009.03.03 13:49:21 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.08.29 12:58:26 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2008.08.29 12:58:16 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2003.01.07 15:05:08 | 000,002,695 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
< End of report >

--- --- ---

Ich würde gerne – soweit es geht – ausschließen, dass System Tool mir weitere gefährliche Programme „mitgeliefert“ hat und außerdem klären, inwiefern die anderen gefundenen Sachen ein Problem sein könnten (das pdfforge Toolbar hatte ich schon vor längerer Zeit im Zusammenhang mit pdf creator installiert – normalerweise scanne ich jede exe-Datei auch vor Installation mit Avast Anti vir – sollte man zusätzlich/stattdessen mit Malwarebytes / einem anderen Programm scannen?). Auch wenn ich ein wochenaktuelles Backup zumindest von meinen beruflichen Dateien habe, würde ich ein komplettes Neuaufsetzen des Systems erstmal zu vermeiden suchen, da es an sich äußerst stabil läuft und doch noch einiges mehr an privaten Daten zu sichern wäre.

Vielen Dank und viele Grüße!

Nils

cosinus · 23.02.2011, 10:49

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O33 - MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\Shell - "" = AutoRun
O33 - MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O33 - MountPoints2\{92a3f510-cec8-11df-b127-0040d067ca52}\Shell\AutoRun\command - "" = E:\Launcher.exe
[2011.02.20 02:18:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eNdIdCj06504
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

nhj · 23.02.2011, 20:41

Hier das Logfile von OTL:

Zitat:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a958581-28e2-11de-ac95-0040d067ca52}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a958581-28e2-11de-ac95-0040d067ca52}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a958581-28e2-11de-ac95-0040d067ca52}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a958581-28e2-11de-ac95-0040d067ca52}\ not found.
File E:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{92a3f510-cec8-11df-b127-0040d067ca52}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92a3f510-cec8-11df-b127-0040d067ca52}\ not found.
File E:\Launcher.exe not found.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eNdIdCj06504\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 24060 bytes
->Temporary Internet Files folder emptied: 33237 bytes

User: Hans Mustermann
->Temp folder emptied: 490330955 bytes
->Temporary Internet Files folder emptied: 1645797687 bytes
->Java cache emptied: 4177354 bytes
->FireFox cache emptied: 54469273 bytes
->Flash cache emptied: 2681230 bytes

User: Hans Mustermann
->Temp folder emptied: 69100367 bytes
->Temporary Internet Files folder emptied: 35824607 bytes
->Java cache emptied: 48548881 bytes
->FireFox cache emptied: 100943641 bytes
->Flash cache emptied: 2608946 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2933127 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28040039 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 2.373,00 mb

OTL by OldTimer - Version 3.2.20.6 log created on 02232011_201332

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für xxx.zip\xxx.pdf not found!
File\Folder C:\Dokumente und Einstellungen\Hans Mustermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für xxx.zip\xxx.pdf not found!

Registry entries deleted on Reboot...

cosinus · 23.02.2011, 22:23

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

nhj · 23.02.2011, 23:56

So, habe jetzt die Schritte abgearbeitet (alles vom Administratorkonto von Win XP aus), hier die Combofix Logdatei:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-23.05 - Hans Mustermann 23.02.2011  23:26:23.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.212 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Hans Mustermann\Desktop\cofi.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
	/wow section - STAGE 25
Das System kann den angegebenen Pfad nicht finden.
"@DO" ist syntaktisch an dieser Stelle nicht verarbeitbar.


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AVSredirect.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-23 bis 2011-02-23  ))))))))))))))))))))))))))))))
.

2011-02-23 22:14 . 2011-02-23 22:14	--------	d-----w-	c:\programme\CCleaner
2011-02-23 21:20 . 2011-02-23 21:20	28752	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{DEB13613-16EA-4EEF-AA68-004EAB3B720C}\MpKsl90022c5f.sys
2011-02-23 20:24 . 2011-01-13 00:41	5890896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{DEB13613-16EA-4EEF-AA68-004EAB3B720C}\mpengine.dll
2011-02-23 19:13 . 2011-02-23 19:13	--------	d-----w-	C:\_OTL
2011-02-22 15:25 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2011-02-22 15:25 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2011-02-22 09:49 . 2011-02-22 09:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-02-22 09:43 . 2011-02-22 09:42	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-02-22 09:42 . 2011-02-22 09:42	--------	d-----w-	c:\programme\Java
2011-02-22 09:07 . 2011-01-13 00:41	5890896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-02-22 09:04 . 2010-10-19 20:51	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-02-22 08:59 . 2011-02-22 09:00	--------	d-----w-	c:\programme\Microsoft Security Client
2011-02-21 16:57 . 2011-02-21 16:57	--------	d-----w-	c:\dokumente und einstellungen\Hans Mustermann\Anwendungsdaten\Malwarebytes
2011-02-20 10:35 . 2011-02-20 10:35	--------	d-----w-	c:\dokumente und einstellungen\Hans Mustermann\Anwendungsdaten\Malwarebytes
2011-02-20 10:35 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-20 10:35 . 2011-02-20 10:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-20 10:35 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-20 10:35 . 2011-02-20 10:35	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-02-20 01:18 . 2011-02-20 11:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\eNdIdCj06504
2011-02-19 11:40 . 2009-09-27 08:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2011-02-19 11:40 . 2004-02-22 09:11	719872	----a-w-	c:\windows\system32\devil.dll
2011-02-19 11:40 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2011-02-19 11:40 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2011-02-19 11:40 . 2011-02-19 11:40	--------	d-----w-	c:\programme\AviSynth 2.5
2011-02-19 11:20 . 2011-02-19 11:20	--------	d-----w-	c:\programme\eRightSoft
2011-02-18 19:06 . 2007-04-09 12:23	28552	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2011-02-18 19:06 . 2007-04-09 12:23	28040	----a-w-	c:\windows\system32\mdimon.dll
2011-02-18 19:05 . 2011-02-18 19:05	--------	d-----w-	c:\programme\Gemeinsame Dateien\L&H
2011-02-18 19:05 . 2011-02-18 19:05	--------	d-----w-	c:\programme\Microsoft ActiveSync
2011-02-07 16:01 . 2011-02-14 13:01	--------	d-----w-	c:\dokumente und einstellungen\Hans Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2011-02-07 14:25 . 2008-11-10 10:41	32656	----a-w-	c:\windows\system32\msonpmon.dll
2011-02-07 14:25 . 2006-10-26 18:56	33104	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2011-02-07 14:19 . 2011-02-07 14:19	--------	d-----w-	c:\dokumente und einstellungen\Hans Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2011-02-07 14:19 . 2011-02-23 21:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-22 09:42 . 2010-06-11 16:48	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-01-21 14:44 . 2004-08-04 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-04 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2004-08-04 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-04 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2004-08-04 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2004-08-04 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2004-08-04 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2004-08-04 00:50	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2004-08-04 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 88363]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-09-15 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-09-15 507904]
"SoundMan"="SOUNDMAN.EXE" [2004-11-09 66048]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Nils J„ger\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [2009-4-1 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R1 MpKsl90022c5f;MpKsl90022c5f;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{DEB13613-16EA-4EEF-AA68-004EAB3B720C}\MpKsl90022c5f.sys [23.02.2011 22:20 28752]
R2 AccWLSvc;AccSys WiFi Server;c:\programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [13.06.2009 19:01 180224]
S3 accwldrv;AccSys WiFi Protokoll;c:\windows\system32\drivers\accwldrv.sys [13.06.2009 19:01 12032]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MPKSL90022C5F
.
Inhalt des "geplante Tasks" Ordners

2011-02-23 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
FF - ProfilePath - c:\dokumente und einstellungen\Hans Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\xeq5o64s.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-23 23:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1060)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-02-23  23:39:41
ComboFix-quarantined-files.txt  2011-02-23 22:39

Vor Suchlauf: 12 Verzeichnis(se), 22.330.785.792 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 25.623.166.976 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 39DE3A98599BA4F0B69C2268DFCE4951

--- --- ---

cosinus · 24.02.2011, 10:31

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

nhj · 26.02.2011, 17:15

Lieber Arne,

hier die weiteren Logfiles:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-26 16:54:13
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_MP0804H rev.UE100-14
Running: 3y73mzlb.exe; Driver: C:\DOKUME~1\Hans Mustermann~1\LOKALE~1\Temp\pgldipoc.sys


---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\ALCXSENS.SYS                                                                                       entry point in "init" section [0xF7CCE900]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[476] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00EE2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[476] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00EE2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[476] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00EE2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

Device                                                                                                                                         Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                        SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                        SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device                                                                                                                                         mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 17:08:58 on 26.02.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.16

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"MP Scheduled Scan.job" - "Microsoft Corporation" - c:\Programme\Microsoft Security Client\Antimalware\MpCmdRun.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AccSys WiFi Protokoll" (accwldrv) - "AccSys GmbH" - C:\WINDOWS\System32\DRIVERS\accwldrv.sys
"catchme" (catchme) - ? - C:\DOKUME~1\NILS_B~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MpKsl124d7626" (MpKsl124d7626) - "Microsoft Corporation" - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{F758F249-D904-4E43-8B38-957EE4DDD6FD}\MpKsl124d7626.sys
"MpKsl2ed20e02" (MpKsl2ed20e02) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{25FCB122-9629-4E2F-9CCD-6E095100999B}\MpKsl2ed20e02.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pgldipoc" (pgldipoc) - ? - C:\DOKUME~1\NILS_B~1\LOKALE~1\Temp\pgldipoc.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - c:\PROGRA~1\MI239C~1\shellext.dll
{28465D9A-DE2F-4627-B520-29968CC3C372} "FaJo XP File Security Extension" - "FaJo" - C:\Programme\FaJo\XP File Security Extension\FJXPFileSecExt.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Hans Mustermann\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"MSC" - "Microsoft Corporation" - "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AccSys WiFi Server" (AccWLSvc) - "AccSys GmbH" - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index[/QUOTE]

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 129):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF8A35000 \WINDOWS\system32\KDCOM.DLL
0xF8945000 \WINDOWS\system32\BOOTVID.dll
0xF84E5000 ACPI.sys
0xF8A37000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84D4000 pci.sys
0xF8535000 isapnp.sys
0xF8545000 ohci1394.sys
0xF8555000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF8949000 compbatt.sys
0xF894D000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF8AFD000 PCIIde.sys
0xF87B5000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF8A39000 intelide.sys
0xF84B6000 pcmcia.sys
0xF8565000 MountMgr.sys
0xF8497000 ftdisk.sys
0xF8951000 ACPIEC.sys
0xF8AFE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF87BD000 PartMgr.sys
0xF8575000 VolSnap.sys
0xF847F000 atapi.sys
0xF8585000 disk.sys
0xF8595000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF845F000 fltmgr.sys
0xF844D000 sr.sys
0xF85A5000 PxHelp20.sys
0xF8436000 KSecDD.sys
0xF8423000 WudfPf.sys
0xF8396000 Ntfs.sys
0xF8369000 NDIS.sys
0xF834F000 Mup.sys
0xF85B5000 agp440.sys
0xF85E5000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF89C9000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF8229000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF8215000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF87DD000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF81F1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF87E5000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7ECF000 \SystemRoot\system32\DRIVERS\w29n51.sys
0xF85F5000 \SystemRoot\system32\DRIVERS\Rtlnic51.sys
0xF8605000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
0xF8615000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
0xF7E7E000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
0xF8625000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF8635000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7E51000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF8A3F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF8815000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8825000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF8645000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8655000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF8665000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7E2E000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7D9A000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF7D76000 \SystemRoot\system32\drivers\portcls.sys
0xF8675000 \SystemRoot\system32\drivers\drmk.sys
0xF7C74000 \SystemRoot\system32\drivers\ALCXSENS.SYS
0xF7B3F000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xF8855000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7B21000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF8BD9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF8685000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF89F1000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7B0A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF8695000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF86A5000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF887D000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7AF9000 \SystemRoot\system32\DRIVERS\psched.sys
0xF86B5000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF888D000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF889D000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF86C5000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8A45000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7A9B000 \SystemRoot\system32\DRIVERS\update.sys
0xF8A01000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF86E5000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8725000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xEF964000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0xF8A57000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8C44000 \SystemRoot\System32\Drivers\Null.SYS
0xF8A5B000 \SystemRoot\System32\Drivers\Beep.SYS
0xF88ED000 \SystemRoot\System32\drivers\vga.sys
0xF8A5F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8A63000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF88FD000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF890D000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF831B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEF931000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF891D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xEF8D8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEF8B0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEF88A000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEF868000 \SystemRoot\System32\drivers\afd.sys
0xF8745000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF8755000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF8765000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xEF83D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEF7CD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF893D000 \??\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{25FCB122-9629-4E2F-9CCD-6E095100999B}\MpKsl2ed20e02.sys
0xF8775000 \SystemRoot\System32\Drivers\Fips.SYS
0xF8795000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEF78D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A69000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7A7B000 \SystemRoot\System32\drivers\Dxapi.sys
0xF881D000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8C01000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF04B000 \SystemRoot\System32\ati2cqag.dll
0xBF087000 \SystemRoot\System32\ati3duag.dll
0xBF2AE000 \SystemRoot\System32\ativvaxx.dll
0xBF324000 \SystemRoot\System32\ATMFD.DLL
0xED4D5000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xED300000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xED180000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xED10A000 \SystemRoot\system32\drivers\wdmaud.sys
0xED395000 \SystemRoot\system32\drivers\sysaudio.sys
0xECF4C000 \SystemRoot\system32\DRIVERS\srv.sys
0xEC948000 \SystemRoot\System32\Drivers\HTTP.sys
0xEC818000 \??\C:\DOKUME~1\NILS_B~1\LOKALE~1\Temp\pgldipoc.sys
0xF8805000 \??\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{F758F249-D904-4E43-8B38-957EE4DDD6FD}\MpKsl124d7626.sys
0xECA89000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xED3D5000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xED695000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 34):
0 System Idle Process
4 System
980 C:\WINDOWS\system32\smss.exe
1028 csrss.exe
1056 C:\WINDOWS\system32\winlogon.exe
1100 C:\WINDOWS\system32\services.exe
1112 C:\WINDOWS\system32\lsass.exe
1268 C:\WINDOWS\system32\ati2evxx.exe
1284 C:\WINDOWS\system32\svchost.exe
1408 svchost.exe
1448 C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
1484 C:\WINDOWS\system32\svchost.exe
1528 C:\WINDOWS\system32\svchost.exe
1676 svchost.exe
1772 svchost.exe
180 C:\WINDOWS\system32\spoolsv.exe
256 svchost.exe
304 C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
476 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
648 C:\Programme\Java\jre6\bin\jqs.exe
868 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
1952 C:\WINDOWS\system32\ati2evxx.exe
220 C:\WINDOWS\explorer.exe
452 C:\WINDOWS\AGRSMMSG.exe
548 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
556 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
564 C:\WINDOWS\SOUNDMAN.EXE
688 C:\Programme\Microsoft Security Client\msseces.exe
700 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
816 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1000 C:\WINDOWS\system32\wscntfy.exe
1320 alg.exe
3096 C:\Programme\Mozilla Firefox\firefox.exe
2660 C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGMP0804H, Rev: UE100-14

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

Vielen Dank für Eure Hilfe!

cosinus · 26.02.2011, 20:20

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

nhj · 27.02.2011, 08:41

So, habe beides geupdated und jeweils Vollscans ausgeführt, und zwar - wie bei allen vorherigen Aktionen auch - von meinem Administratorkonto aus (Benutzerkonto nicht parallel angemeldet); ich hoffe, das war richtig so?

Logfile Malwarebytes

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5887

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.02.2011 21:35:37
mbam-log-2011-02-26 (21-35-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 281581
Laufzeit: 1 Stunde(n), 6 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 02/27/2011 at 00:47 AM

Application Version : 4.49.1000

Core Rules Database Version : 6491
Trace Rules Database Version: 4303

Scan type : Complete Scan
Total Scan Time : 02:32:18

Memory items scanned : 437
Memory threats detected : 0
Registry items scanned : 6129
Registry threats detected : 0
File items scanned : 140839
File threats detected : 7

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP354\A0068315.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP355\A0068376.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP355\A0068377.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP355\A0068378.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP355\A0068379.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP355\A0068380.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EBABE556-F62D-4C31-8EA8-5C6D94FE076A}\RP355\A0068381.DLL

Das Gefundene habe ich hier in Quarantäne setzen lassen. Soll ich es auch entfernen?

Grüße,

Nils

cosinus · 27.02.2011, 20:23

Das sind nur Überreste aus der Systemwiederherstellung. Wenn da Funde zu verzeichnen sind, sollte man die SWH besser einmal komplett deaktivieren, das löscht alle Punkte, dann wieder aktivieren:

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Zitat:

Soll ich es auch entfernen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

26.02.2011, 20:20	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	System Tool und evtl. andere Malware (PUP.Dealio) – (nur?) Benutzerkonto betroffen Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

System Tool und evtl. andere Malware (PUP.Dealio) – (nur?) Benutzerkonto betroffen

Plagegeister aller Art und deren Bekämpfung: System Tool und evtl. andere Malware (PUP.Dealio) – (nur?) Benutzerkonto betroffen