System Tool eingenistet

cosinus · 24.02.2011, 18:59

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Christian_ · 24.02.2011, 19:04

Hier das Extra Log file

Christian_ · 24.02.2011, 19:10

Okay ich mache jetzt noch einen Vollscan mit Malwarebytes. Befürchte aber dass ich das Log erst morgen früh posten kann. Ich habe es heute vor beiden Scans aktualisiert.

P.S.

Ich habe alle Scans heute im normalen Modus und während G Date gelaufen ist gemacht. Spielt das eine Rolle?

Hier noch ein älteres Log von Malwarebytes.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5615

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

27.01.2011 10:12:13
mbam-log-2011-01-27 (10-12-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 314208
Laufzeit: 1 Stunde(n), 58 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{6FD31ED6-7C94-4bbc-8E95-F927F4D3A949} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\SAI.Instantiator.1 (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\SAI.Instantiator (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6FD31ED6-7C94-4BBC-8E95-F927F4D3A949} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\egodktf.bsfl (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Helper (Trojan.Agent) -> Value: Helper -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\softxpansion\tbsof1.dll (Adware.Shopper) -> No action taken.
c:\dokumente und einstellungen\Erich\anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\asc3550p.sys (Rootkit.Agent) -> No action taken.

Christian_ · 25.02.2011, 07:45

Guten Morgen,

hier das Log file des letzten Suchlaufes.

cosinus · 25.02.2011, 09:20

Zitat:

-> No action taken.

Wieso entfernst du die Funde nie??

Christian_ · 25.02.2011, 09:25

Hab ich doch.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5868

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

24.02.2011 16:47:38
mbam-log-2011-02-24 (16-47-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158406
Laufzeit: 21 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Erich\lokale einstellungen\Temp\jar_cache40881.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Erich\lokale einstellungen\Temp\0.37880157168383133.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

cosinus · 25.02.2011, 09:28

Ok, dann ist alles gut

Ich seh mit mal die OTL-Logs an.

cosinus · 25.02.2011, 09:30

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011.02.24 11:55:46 | 001,228,854 | ---- | M] () -- C:\fsqwr.bmp
[2011.02.24 17:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hHoCgNn06504
O32 - AutoRun File - [2004.12.30 14:12:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\Shell - "" = AutoRun
O33 - MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\Shell\AutoRun\command - "" = G:\USBAutoRun.exe
O33 - MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\Shell - "" = AutoRun
O33 - MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Christian_ · 25.02.2011, 10:19

Hier das OTL log file

All processes killed
========== OTL ==========
C:\fsqwr.bmp moved successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hHoCgNn06504\ not found.
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a44e09dd-06ab-11df-bd35-00116b3d1713}\ not found.
File G:\USBAutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd4d04c8-1adc-11df-bd5d-000b6a3490cc}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 319137 bytes
->FireFox cache emptied: 63881620 bytes
->Flash cache emptied: 715 bytes

User: All Users

User: Chris

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Erich
->Temp folder emptied: 486475184 bytes
->Temporary Internet Files folder emptied: 227524299 bytes
->Java cache emptied: 14463998 bytes
->FireFox cache emptied: 54159260 bytes
->Flash cache emptied: 337907 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 40230 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 24 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 55773667 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 861.00 mb

OTL by OldTimer - Version 3.2.21.0 log created on 02252011_100030

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\SD6772097.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

grüße

cosinus · 25.02.2011, 11:45

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Christian_ · 25.02.2011, 16:58

Hi,

es gibt ein kleines Problem.

Combofix bzw cofi.exe meint dass folgende Anwendungen laufen:
G Data total care
Antivir Personal Edition classic
Antivir Personal Edition classic

Das Problem dabei ist, dass ich schon eine Weile kein Antivir mehr auf dem Rechner habe...
Im Taskmanager sind mir ein paar Prozesse aufgefallen:
GDFSvc.exe
AVKProxy.exe
AVKService.exe
AVKctl.exe

Keiner dieser Prozesse lässt sich mit dem Taskmanager oder Tune Up Process Manager beenden.

Was soll ich tun?

grüße
Chris

cosinus · 26.02.2011, 00:30

Das ist ein Bug. Wenn GDATA deaktiviert und AntiVir deinstalliert ist einfach ausführen -

Christian_ · 26.02.2011, 13:28

okay,

dann mach ich einfach mal. Danke.

Christian_ · 26.02.2011, 14:25

hier das ComboFix Log File

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-24.05 - Erich 26.02.2011  13:40:41.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.819 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Erich\Desktop\cofi.exe.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: G Data TotalCare 2011 *Enabled/Updated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
FW: G Data Personal Firewall *Enabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}
 * Im Speicher befindliches AV aktiv.


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Erich\Cookies\hpothb07.dat
c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\rTool
c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\rTool\rtool.ini
C:\extensionx.exe
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\INSTALL.LOG
c:\programme\WinPCap\NetMonInstaller.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\programme\WinPCap\Uninstall.exe
c:\windows\My.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2011-01-26 bis 2011-02-26  ))))))))))))))))))))))))))))))
.

2011-02-25 15:07 . 2011-02-25 15:07	--------	d-----w-	c:\programme\CCleaner
2011-02-25 09:00 . 2011-02-25 09:00	--------	d-----w-	C:\_OTL
2011-02-24 10:17 . 2011-02-24 16:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hHoCgNn06504
2011-02-22 08:07 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2011-02-22 08:06 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2011-02-22 08:05 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2011-02-22 08:03 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2011-02-22 08:03 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2011-02-22 07:50 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2011-02-22 07:40 . 2011-02-22 08:14	--------	d-----w-	c:\dokumente und einstellungen\Erich\Anwendungsdaten\Advtab
2011-02-21 21:57 . 2011-02-21 21:57	68976	----a-w-	c:\windows\system32\drivers\GRD.sys
2011-02-21 20:37 . 2011-02-21 20:37	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\G DATA
2011-02-21 20:09 . 2010-05-11 03:19	137288	----a-w-	c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\Components\avkwebfilterff.dll
2011-02-21 20:08 . 2011-02-21 20:08	29640	----a-w-	c:\windows\system32\drivers\GDNdisIc.sys
2011-02-21 20:08 . 2011-02-21 20:08	51400	----a-w-	c:\windows\system32\drivers\GDTdiIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	38600	----a-w-	c:\windows\system32\drivers\HookCentre.sys
2011-02-21 20:08 . 2011-02-21 20:08	62024	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	33480	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2011-02-21 20:07 . 2011-02-22 14:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2011-02-21 20:07 . 2011-02-21 20:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\G Data
2011-02-21 20:07 . 2011-02-21 20:07	--------	d-----w-	c:\programme\G Data
2011-02-21 19:53 . 2011-02-21 19:53	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\Erich\Anwendungsdaten\f-secure
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2011-01-29 14:55 . 2011-02-02 01:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\REPORTS
2011-01-29 14:55 . 2011-02-01 23:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LOGFILES
2011-01-29 14:55 . 2011-01-29 14:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\INFECTED

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-25 09:23 . 2008-04-02 16:05	0	--sh--w-	c:\windows\SD6772097.tmp
2011-01-21 14:44 . 2001-08-18 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2001-08-18 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2001-08-18 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2001-08-18 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:06 . 2001-08-18 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:06 . 2006-02-01 19:16	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-12-20 23:06 . 2001-08-18 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-12-20 23:06 . 2001-08-18 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-12-20 17:25 . 2001-08-18 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2011-01-27 07:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2011-01-27 07:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-02-01 19:16	389120	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2001-08-18 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2001-08-18 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2001-08-18 04:28	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2001-08-18 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Icmwnd"="c:\dokumente und einstellungen\Erich\Anwendungsdaten\Adobe\Update\atcom.exe" [2010-10-23 0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVD.exe
"ICQ"="c:\programme\ICQ7.1\ICQ.exe" silent loginmode=4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"HTpatch"=c:\windows\htpatch.exe
"nwiz"=nwiz.exe /install
"Gainward"=c:\windows\TBPanel.exe /A
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"GDFirewallTray"=c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe
"G Data AntiVirus Tray Application"=c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\CIMCO\\DNCMax5\\CIMCOEdit.exe"=
"c:\\Programme\\proeWildfire 4.0\\bin\\proe.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\CatiaToPro.exe"=
"c:\\CIMCO\\CIMCOEdit5\\CIMCOEdit.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\CIMCO\\NFS\\portmap.exe"=
"c:\\CIMCO\\NFS\\nfs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\patcher\\patcher.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\launcher\\Launcher.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\7-Zip\\7zFM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17679:TCP"= 17679:TCP:*:Disabled:BitComet 17679 TCP
"17679:UDP"= 17679:UDP:*:Disabled:BitComet 17679 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"29000:TCP"= 29000:TCP:pwi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [21.02.2011 21:08 33480]
R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [21.02.2011 21:08 29640]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.05.2008 16:52 717296]
R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [21.02.2011 21:08 62024]
R1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [21.02.2011 22:57 68976]
R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [21.02.2011 21:08 38600]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R1 prodrv04;Star Force copy protection driver v4;c:\windows\system32\drivers\prodrv04.sys [01.03.2005 15:32 114496]
R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe [27.08.2010 08:50 1178184]
R2 AVKService;G Data Scheduler;c:\programme\G Data\TotalCare\AVK\AVKService.exe [27.08.2010 08:50 410696]
R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G Data\TotalCare\AVK\AVKWCtl.exe [27.08.2010 01:04 1330792]
R2 CimcoNFS Portmapper;CimcoNFS Portmapper;c:\cimco\NFS\portmap.exe [12.08.2009 12:31 73728]
R2 CimcoNFS Server;CimcoNFS Server;c:\cimco\NFS\nfs.exe [12.08.2009 12:31 126976]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [21.02.2011 21:08 51400]
R3 GDFwSvc;G Data Personal Firewall;c:\programme\G Data\TotalCare\Firewall\GDFwSvc.exe [27.08.2010 01:15 1607344]
R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe [27.08.2010 00:39 340552]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [22.08.2006 07:28 20160]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [?]
S3 GDBackupSvc;G Data Backup Service;c:\programme\G Data\TotalCare\AVKBackup\AVKBackupService.exe [27.08.2010 00:58 906824]
S3 GDTunerSvc;G Data Tuner Service;c:\programme\G Data\TotalCare\AVKTuner\AVKTunerService.exe [27.08.2010 01:38 948808]
S3 OEMSTOR;USB Mass Storage;c:\windows\system32\drivers\USBMSDk.sys [02.06.2007 22:11 17024]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\DRIVERS\pfc027.sys --> c:\windows\system32\DRIVERS\pfc027.sys [?]
S3 SaiH0109;SaiH0109;c:\windows\system32\drivers\SaiH0109.sys [03.11.2005 09:52 176640]
S3 SaiU0109;SaiU0109;c:\windows\system32\drivers\SaiU0109.sys [03.11.2005 09:52 27264]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2011-02-25 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-07 22:38]

2010-04-10 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-01 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
TCP: {9311CAD5-A71B-43FE-AB73-6BC22DCA0780} = 192.168.1.2
FF - ProfilePath - c:\dokumente und einstellungen\Erich\Anwendungsdaten\Mozilla\Firefox\Profiles\k0ebl03r.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Nautipolis for Firefox: {6C4BAFB6-2AC2-4405-A98D-546B55B3AE92} - %profile%\extensions\{6C4BAFB6-2AC2-4405-A98D-546B55B3AE92}
FF - Ext: Chromifox Basic: chromifox@altmusictv.com - %profile%\extensions\chromifox@altmusictv.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
AddRemove-WinPcapInst - c:\programme\WinPcap\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-26 13:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-507921405-1801674531-1003\Software\Zepter Software\RegLib*749178c9\AnyDVD/1]
"1"=dword:4479e438
"2"=dword:44942741
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2604)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-26  14:06:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-26 13:06

Vor Suchlauf: 8.297.644.032 Bytes frei
Nach Suchlauf: 8.330.551.296 Bytes frei

- - End Of File - - AABF6E2CB07FC9A159AB81780E7BDC5C

--- --- ---

cosinus · 26.02.2011, 20:10

Zitat:

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

Warum nur?

25.02.2011, 09:28	#22
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	System Tool eingenistet Ok, dann ist alles gut Ich seh mit mal die OTL-Logs an. __________________ Logfiles bitte immer in CODE-Tags posten

26.02.2011, 00:30	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	System Tool eingenistet Das ist ein Bug. Wenn GDATA deaktiviert und AntiVir deinstalliert ist einfach ausführen - __________________ Logfiles bitte immer in CODE-Tags posten

System Tool eingenistet

Plagegeister aller Art und deren Bekämpfung: System Tool eingenistet