Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
System Tool eingenistet

System Tool eingenistet


Plagegeister aller Art und deren Bekämpfung: System Tool eingenistet

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 3 von 5 12 3 45
Alt 27.02.2011, 19:17   #31
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


ich habe keine Ahnung.
Ich hab die Anleitung zu Combofix haargenau befolgt.
Was jetzt?

gruß
Chris

Alt 27.02.2011, 21:24   #32
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Wir brauchen die Wiederherstellungskonsole:

Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt)



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
  • Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
  • Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
  • Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.
__________________

__________________
Alt 28.02.2011, 11:26   #33
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


Hallo Cosinus,

erstmal danke für deine Hartnäckigkeit mein Problem betreffend.
Es gibt leider ein neues Problem.

Ich habe die Wiederherstellungskonsole runtergeladen und auf cofi.exe gezogen wie du es beschrieben hast.

Cofi.exe erkannte das auch und ich habe alles bestätigt.

Leider hängt cofi seit mind. 2,5 Stunden bei:

Fertiggestellt Stufe_49

Ich habe weder die Maus noch die Tastatur angefasst. Naja bis eben zumindest...

Hast noch nen Vorschlag was ich jetzt machen könnte?

grüße
Chris

Edit: Ach ja, ich hab cofi.exe noch immer am Laufen. Soll ich es abbrechen?
__________________
Alt 28.02.2011, 13:05   #34
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Hast du eine Windows-XP-CD? Darüber kann man die Wiederherstellungskonsole auch installieren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.02.2011, 13:10   #35
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


nein hab ich leider nicht.


Alt 28.02.2011, 14:05   #36
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Zitat:
FW: G Data Personal Firewall *Enabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}
Bitte deinstallieren und CF nochmal laufen lassen.
__________________
--> System Tool eingenistet

Alt 28.02.2011, 16:56   #37
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


Versteh nicht wieso das enabled ist -.-

Ich hab cofi.exe ein zweites Mal ausgeführt. Siehe Log.

Ich kann G Data aber auch deinstallieren wenns nötig ist. Gib bitte Bescheid.

grüße
chris

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-02-24.05 - Erich 28.02.2011  14:12:48.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.852 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Erich\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Erich\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: G Data TotalCare 2011 *Disabled/Updated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
FW: G Data Personal Firewall *Disabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-28 bis 2011-02-28  ))))))))))))))))))))))))))))))
.

2011-02-25 15:07 . 2011-02-25 15:07	--------	d-----w-	c:\programme\CCleaner
2011-02-25 09:00 . 2011-02-25 09:00	--------	d-----w-	C:\_OTL
2011-02-24 10:17 . 2011-02-24 16:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hHoCgNn06504
2011-02-22 08:07 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2011-02-22 08:06 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2011-02-22 08:05 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2011-02-22 08:03 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2011-02-22 08:03 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2011-02-22 07:50 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2011-02-22 07:40 . 2011-02-22 08:14	--------	d-----w-	c:\dokumente und einstellungen\Erich\Anwendungsdaten\Advtab
2011-02-21 21:57 . 2011-02-21 21:57	68976	----a-w-	c:\windows\system32\drivers\GRD.sys
2011-02-21 20:37 . 2011-02-21 20:37	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\G DATA
2011-02-21 20:09 . 2010-05-11 03:19	137288	----a-w-	c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\Components\avkwebfilterff.dll
2011-02-21 20:08 . 2011-02-21 20:08	29640	----a-w-	c:\windows\system32\drivers\GDNdisIc.sys
2011-02-21 20:08 . 2011-02-21 20:08	51400	----a-w-	c:\windows\system32\drivers\GDTdiIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	38600	----a-w-	c:\windows\system32\drivers\HookCentre.sys
2011-02-21 20:08 . 2011-02-21 20:08	62024	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	33480	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2011-02-21 20:07 . 2011-02-22 14:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2011-02-21 20:07 . 2011-02-21 20:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\G Data
2011-02-21 20:07 . 2011-02-21 20:07	--------	d-----w-	c:\programme\G Data
2011-02-21 19:53 . 2011-02-21 19:53	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\Erich\Anwendungsdaten\f-secure
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2011-01-29 14:55 . 2011-02-02 01:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\REPORTS
2011-01-29 14:55 . 2011-02-01 23:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LOGFILES
2011-01-29 14:55 . 2011-01-29 14:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\INFECTED

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-25 09:23 . 2008-04-02 16:05	0	--sh--w-	c:\windows\SD6772097.tmp
2011-01-21 14:44 . 2001-08-18 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2001-08-18 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2001-08-18 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2001-08-18 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:06 . 2001-08-18 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:06 . 2006-02-01 19:16	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-12-20 23:06 . 2001-08-18 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-12-20 23:06 . 2001-08-18 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-12-20 17:25 . 2001-08-18 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2011-01-27 07:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2011-01-27 07:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-02-01 19:16	389120	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2001-08-18 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2001-08-18 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2001-08-18 04:28	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2001-08-18 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Icmwnd"="c:\dokumente und einstellungen\Erich\Anwendungsdaten\Adobe\Update\atcom.exe" [2010-10-23 0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVD.exe
"ICQ"="c:\programme\ICQ7.1\ICQ.exe" silent loginmode=4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"HTpatch"=c:\windows\htpatch.exe
"nwiz"=nwiz.exe /install
"Gainward"=c:\windows\TBPanel.exe /A
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"GDFirewallTray"=c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe
"G Data AntiVirus Tray Application"=c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\CIMCO\\DNCMax5\\CIMCOEdit.exe"=
"c:\\Programme\\proeWildfire 4.0\\bin\\proe.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\CatiaToPro.exe"=
"c:\\CIMCO\\CIMCOEdit5\\CIMCOEdit.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\CIMCO\\NFS\\portmap.exe"=
"c:\\CIMCO\\NFS\\nfs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\patcher\\patcher.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\launcher\\Launcher.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\7-Zip\\7zFM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17679:TCP"= 17679:TCP:*:Disabled:BitComet 17679 TCP
"17679:UDP"= 17679:UDP:*:Disabled:BitComet 17679 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"29000:TCP"= 29000:TCP:pwi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [21.02.2011 21:08 33480]
R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [21.02.2011 21:08 29640]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.05.2008 16:52 717296]
R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [21.02.2011 21:08 62024]
R1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [21.02.2011 22:57 68976]
R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [21.02.2011 21:08 38600]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R1 prodrv04;Star Force copy protection driver v4;c:\windows\system32\drivers\prodrv04.sys [01.03.2005 15:32 114496]
R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe [27.08.2010 08:50 1178184]
R2 AVKService;G Data Scheduler;c:\programme\G Data\TotalCare\AVK\AVKService.exe [27.08.2010 08:50 410696]
R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G Data\TotalCare\AVK\AVKWCtl.exe [27.08.2010 01:04 1330792]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [21.02.2011 21:08 51400]
R3 GDFwSvc;G Data Personal Firewall;c:\programme\G Data\TotalCare\Firewall\GDFwSvc.exe [27.08.2010 01:15 1607344]
R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe [27.08.2010 00:39 340552]
S2 CimcoNFS Portmapper;CimcoNFS Portmapper;c:\cimco\NFS\portmap.exe [12.08.2009 12:31 73728]
S2 CimcoNFS Server;CimcoNFS Server;c:\cimco\NFS\nfs.exe [12.08.2009 12:31 126976]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [22.08.2006 07:28 20160]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [?]
S3 GDBackupSvc;G Data Backup Service;c:\programme\G Data\TotalCare\AVKBackup\AVKBackupService.exe [27.08.2010 00:58 906824]
S3 GDTunerSvc;G Data Tuner Service;c:\programme\G Data\TotalCare\AVKTuner\AVKTunerService.exe [27.08.2010 01:38 948808]
S3 OEMSTOR;USB Mass Storage;c:\windows\system32\drivers\USBMSDk.sys [02.06.2007 22:11 17024]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\DRIVERS\pfc027.sys --> c:\windows\system32\DRIVERS\pfc027.sys [?]
S3 SaiH0109;SaiH0109;c:\windows\system32\drivers\SaiH0109.sys [03.11.2005 09:52 176640]
S3 SaiU0109;SaiU0109;c:\windows\system32\drivers\SaiU0109.sys [03.11.2005 09:52 27264]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2011-02-25 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-07 22:38]

2010-04-10 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-01 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
TCP: {9311CAD5-A71B-43FE-AB73-6BC22DCA0780} = 192.168.1.2
FF - ProfilePath - c:\dokumente und einstellungen\Erich\Anwendungsdaten\Mozilla\Firefox\Profiles\k0ebl03r.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Nautipolis for Firefox: {6C4BAFB6-2AC2-4405-A98D-546B55B3AE92} - %profile%\extensions\{6C4BAFB6-2AC2-4405-A98D-546B55B3AE92}
FF - Ext: Chromifox Basic: chromifox@altmusictv.com - %profile%\extensions\chromifox@altmusictv.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 14:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-507921405-1801674531-1003\Software\Zepter Software\RegLib*749178c9\AnyDVD/1]
"1"=dword:4479e438
"2"=dword:44942741
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(7936)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-02-28  14:29:49
ComboFix-quarantined-files.txt  2011-02-28 13:29
ComboFix2.txt  2011-02-26 13:06

Vor Suchlauf: 8.219.344.896 Bytes frei
Nach Suchlauf: 8.199.143.424 Bytes frei

- - End Of File - - B7964F29D64F2DD23BB6A56515C86125
--- --- ---
Alt 28.02.2011, 20:02   #38
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Zitat:
Ich kann G Data aber auch deinstallieren wenns nötig ist. Gib bitte Bescheid.
Ja ich bitte darum. Personal Firewalls sind Problembeschaffungsmaßnahmen und unsicherer als die Windows-Firewall.

Nach der Deinstallation von GDATA:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hHoCgNn06504

File::
c:\windows\SD6772097.tmp
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.03.2011, 08:13   #39
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


Guten Morgen,

hier das Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-03-01.03 - Erich 02.03.2011  23:13:19.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1115 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Erich\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Erich\Desktop\CFScript.txt
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}

FILE ::
"c:\windows\SD6772097.tmp"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\hHoCgNn06504
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hHoCgNn06504\hHoCgNn06504
c:\windows\SD6772097.tmp . . . . Nicht in der Lage zu löschen

.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-03 bis 2011-03-03  ))))))))))))))))))))))))))))))
.

2011-03-02 22:21 . 2011-03-02 22:21	0	----a-w-	c:\windows\SD6772097.tmp
2011-02-25 15:07 . 2011-02-25 15:07	--------	d-----w-	c:\programme\CCleaner
2011-02-25 09:00 . 2011-02-25 09:00	--------	d-----w-	C:\_OTL
2011-02-22 08:07 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2011-02-22 08:06 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2011-02-22 08:05 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2011-02-22 08:03 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2011-02-22 08:03 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2011-02-22 07:50 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2011-02-21 21:57 . 2011-02-21 21:57	68976	----a-w-	c:\windows\system32\drivers\GRD.sys
2011-02-21 20:37 . 2011-02-21 20:37	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\G DATA
2011-02-21 20:09 . 2010-05-11 03:19	137288	----a-w-	c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\Components\avkwebfilterff.dll
2011-02-21 20:08 . 2011-02-21 20:08	29640	----a-w-	c:\windows\system32\drivers\GDNdisIc.sys
2011-02-21 20:08 . 2011-02-21 20:08	51400	----a-w-	c:\windows\system32\drivers\GDTdiIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	62024	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	33480	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2011-02-21 20:07 . 2011-03-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2011-02-21 20:07 . 2011-03-02 14:51	--------	d-----w-	c:\programme\G Data
2011-02-21 20:07 . 2011-03-02 14:51	--------	d-----w-	c:\programme\Gemeinsame Dateien\G Data
2011-02-21 19:53 . 2011-02-21 19:53	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\Erich\Anwendungsdaten\f-secure
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2001-08-18 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2001-08-18 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2001-08-18 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2001-08-18 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:06 . 2001-08-18 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:06 . 2006-02-01 19:16	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-12-20 23:06 . 2001-08-18 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-12-20 23:06 . 2001-08-18 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-12-20 17:25 . 2001-08-18 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2011-01-27 07:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2011-01-27 07:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-02-01 19:16	389120	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2001-08-18 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2001-08-18 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2001-08-18 04:28	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2001-08-18 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Icmwnd"="c:\dokumente und einstellungen\Erich\Anwendungsdaten\Adobe\Update\atcom.exe" [2010-10-23 0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVD.exe
"ICQ"="c:\programme\ICQ7.1\ICQ.exe" silent loginmode=4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"HTpatch"=c:\windows\htpatch.exe
"nwiz"=nwiz.exe /install
"Gainward"=c:\windows\TBPanel.exe /A
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\CIMCO\\DNCMax5\\CIMCOEdit.exe"=
"c:\\Programme\\proeWildfire 4.0\\bin\\proe.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\CatiaToPro.exe"=
"c:\\CIMCO\\CIMCOEdit5\\CIMCOEdit.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\CIMCO\\NFS\\portmap.exe"=
"c:\\CIMCO\\NFS\\nfs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\patcher\\patcher.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\launcher\\Launcher.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\7-Zip\\7zFM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17679:TCP"= 17679:TCP:*:Disabled:BitComet 17679 TCP
"17679:UDP"= 17679:UDP:*:Disabled:BitComet 17679 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"29000:TCP"= 29000:TCP:pwi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.05.2008 16:52 717296]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R1 prodrv04;Star Force copy protection driver v4;c:\windows\system32\drivers\prodrv04.sys [01.03.2005 15:32 114496]
R2 CimcoNFS Portmapper;CimcoNFS Portmapper;c:\cimco\NFS\portmap.exe [12.08.2009 12:31 73728]
R2 CimcoNFS Server;CimcoNFS Server;c:\cimco\NFS\nfs.exe [12.08.2009 12:31 126976]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [22.08.2006 07:28 20160]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [?]
S3 OEMSTOR;USB Mass Storage;c:\windows\system32\drivers\USBMSDk.sys [02.06.2007 22:11 17024]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\DRIVERS\pfc027.sys --> c:\windows\system32\DRIVERS\pfc027.sys [?]
S3 SaiH0109;SaiH0109;c:\windows\system32\drivers\SaiH0109.sys [03.11.2005 09:52 176640]
S3 SaiU0109;SaiU0109;c:\windows\system32\drivers\SaiU0109.sys [03.11.2005 09:52 27264]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2011-02-25 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-07 22:38]

2010-04-10 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-01 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
TCP: {9311CAD5-A71B-43FE-AB73-6BC22DCA0780} = 192.168.1.2
FF - ProfilePath - c:\dokumente und einstellungen\Erich\Anwendungsdaten\Mozilla\Firefox\Profiles\k0ebl03r.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Nautipolis for Firefox: {6C4BAFB6-2AC2-4405-A98D-546B55B3AE92} - %profile%\extensions\{6C4BAFB6-2AC2-4405-A98D-546B55B3AE92}
FF - Ext: Chromifox Basic: chromifox@altmusictv.com - %profile%\extensions\chromifox@altmusictv.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-03 07:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-507921405-1801674531-1003\Software\Zepter Software\RegLib*749178c9\AnyDVD/1]
"1"=dword:4479e438
"2"=dword:44942741
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(252)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-03  07:55:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-03 06:55
ComboFix2.txt  2011-02-28 13:29
ComboFix3.txt  2011-02-26 13:06

Vor Suchlauf: 8.165.777.408 Bytes frei
Nach Suchlauf: 8.155.795.456 Bytes frei

- - End Of File - - 46D5BB6956FA60C73B4DC2006FD04820
--- --- ---


grüße
Christian
Geändert von Christian_ (03.03.2011 um 08:27 Uhr)

Alt 03.03.2011, 12:26   #40
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
Files to delete:
c:\windows\SD6772097.tmp
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.03.2011, 19:38   #41
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


Anbei das Log von Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\SD6772097.tmp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Hier der Link des hoch geladenen Archives.

hxxp://www.file-upload.net/download-3259924/backup.zip.html

grüße
Christian

Alt 04.03.2011, 21:49   #42
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Dann bitte nochmal CF ausführen, nimm eine neue cofi.exe bitte!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.03.2011, 19:14   #43
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


Guten Abend,

hier das Log von ComboFix.

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-03-05.02 - Erich 06.03.2011  18:55:35.5.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1153 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Erich\Desktop\cofi.exe.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-06 bis 2011-03-06  ))))))))))))))))))))))))))))))
.
.
2011-03-03 09:15 . 2011-03-03 09:15	136	----a-w-	c:\dokumente und einstellungen\Erich\cgtpro60.bat
2011-03-02 22:21 . 2011-03-04 16:42	0	--sh--w-	c:\windows\SD6772097.tmp
2011-02-25 15:07 . 2011-02-25 15:07	--------	d-----w-	c:\programme\CCleaner
2011-02-25 09:00 . 2011-02-25 09:00	--------	d-----w-	C:\_OTL
2011-02-22 08:07 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2011-02-22 08:06 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2011-02-22 08:05 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2011-02-22 08:03 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2011-02-22 08:03 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2011-02-22 07:50 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2011-02-21 21:57 . 2011-02-21 21:57	68976	----a-w-	c:\windows\system32\drivers\GRD.sys
2011-02-21 20:37 . 2011-02-21 20:37	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\G DATA
2011-02-21 20:09 . 2010-05-11 03:19	137288	----a-w-	c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\Components\avkwebfilterff.dll
2011-02-21 20:08 . 2011-02-21 20:08	29640	----a-w-	c:\windows\system32\drivers\GDNdisIc.sys
2011-02-21 20:08 . 2011-02-21 20:08	51400	----a-w-	c:\windows\system32\drivers\GDTdiIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	62024	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2011-02-21 20:08 . 2011-02-21 20:08	33480	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2011-02-21 20:07 . 2011-03-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2011-02-21 20:07 . 2011-03-02 14:51	--------	d-----w-	c:\programme\G Data
2011-02-21 20:07 . 2011-03-02 14:51	--------	d-----w-	c:\programme\Gemeinsame Dateien\G Data
2011-02-21 19:53 . 2011-02-21 19:53	--------	d-----w-	c:\dokumente und einstellungen\Erich\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\Erich\Anwendungsdaten\f-secure
2011-02-21 19:16 . 2011-02-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2001-08-18 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2001-08-18 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2001-08-18 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2001-08-18 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:06 . 2001-08-18 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:06 . 2006-02-01 19:16	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-12-20 23:06 . 2001-08-18 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-12-20 23:06 . 2001-08-18 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-12-20 17:25 . 2001-08-18 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2011-01-27 07:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2011-01-27 07:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-02-01 19:16	389120	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2001-08-18 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2001-08-18 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2001-08-18 04:28	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2001-08-18 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Icmwnd"="c:\dokumente und einstellungen\Erich\Anwendungsdaten\Adobe\Update\atcom.exe" [2010-10-23 0]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
.
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
.
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
.
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
.
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
.
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [N/A]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVD.exe
"ICQ"="c:\programme\ICQ7.1\ICQ.exe" silent loginmode=4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"HTpatch"=c:\windows\htpatch.exe
"nwiz"=nwiz.exe /install
"Gainward"=c:\windows\TBPanel.exe /A
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\CIMCO\\DNCMax5\\CIMCOEdit.exe"=
"c:\\Programme\\proeWildfire 4.0\\bin\\proe.exe"=
"c:\\Programme\\proeWildfire 4.0\\i486_nt\\obj\\CatiaToPro.exe"=
"c:\\CIMCO\\CIMCOEdit5\\CIMCOEdit.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\CIMCO\\NFS\\portmap.exe"=
"c:\\CIMCO\\NFS\\nfs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\patcher\\patcher.exe"=
"c:\\Programme\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World Entertainment\\Perfect World International\\launcher\\Launcher.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\7-Zip\\7zFM.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17679:TCP"= 17679:TCP:*:Disabled:BitComet 17679 TCP
"17679:UDP"= 17679:UDP:*:Disabled:BitComet 17679 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"29000:TCP"= 29000:TCP:pwi
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.05.2008 16:52 717296]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R1 prodrv04;Star Force copy protection driver v4;c:\windows\system32\drivers\prodrv04.sys [01.03.2005 15:32 114496]
S2 CimcoNFS Portmapper;CimcoNFS Portmapper;c:\cimco\NFS\portmap.exe [12.08.2009 12:31 73728]
S2 CimcoNFS Server;CimcoNFS Server;c:\cimco\NFS\nfs.exe [12.08.2009 12:31 126976]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [22.08.2006 07:28 20160]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [?]
S3 OEMSTOR;USB Mass Storage;c:\windows\system32\drivers\USBMSDk.sys [02.06.2007 22:11 17024]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\DRIVERS\pfc027.sys --> c:\windows\system32\DRIVERS\pfc027.sys [?]
S3 SaiH0109;SaiH0109;c:\windows\system32\drivers\SaiH0109.sys [03.11.2005 09:52 176640]
S3 SaiU0109;SaiU0109;c:\windows\system32\drivers\SaiU0109.sys [03.11.2005 09:52 27264]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-07 22:38]
.
2010-04-10 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-01 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
TCP: {9311CAD5-A71B-43FE-AB73-6BC22DCA0780} = 192.168.1.2
FF - ProfilePath - c:\dokumente und einstellungen\Erich\Anwendungsdaten\Mozilla\Firefox\Profiles\k0ebl03r.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Nautipolis for Firefox: {6C4BAFB6-2AC2-4405-A98D-546B55B3AE92} - %profile%\extensions\{6C4BAFB6-2AC2-4405-A98D-546B55B3AE92}
FF - Ext: Chromifox Basic: chromifox@altmusictv.com - %profile%\extensions\chromifox@altmusictv.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-06 19:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1202660629-507921405-1801674531-1003\Software\Zepter Software\RegLib*749178c9\AnyDVD/1]
"1"=dword:4479e438
"2"=dword:44942741
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2648)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-03-06  19:07:28
ComboFix-quarantined-files.txt  2011-03-06 18:07
ComboFix2.txt  2011-03-03 06:55
ComboFix3.txt  2011-02-28 13:29
ComboFix4.txt  2011-02-26 13:06
.
Vor Suchlauf: 8.524.550.144 Bytes frei
Nach Suchlauf: 8.502.509.568 Bytes frei
.
- - End Of File - - A11685B736D3CDC231C9245EB62362FA
--- --- ---

grüße
Christian

Alt 07.03.2011, 16:39   #44
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System Tool eingenistet - Standard

System Tool eingenistet


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.03.2011, 20:11   #45
Christian_
 
System Tool eingenistet - Standard

System Tool eingenistet


So,

ich denke ich habe bei OSAM einen Fehler gemacht.
Nach dem Scan wollte OSAM sich mit dem Internet verbinden. Das ging aber nicht, da ich wegen GMER das Lan Kabel noch abgezogen hatte. Ich hab deshalb auf Cancel geklickt und danach einfach das Log file abgespeichert.

Das ist hier:
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:08:27 on 07.03.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17095

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
"slcpappl.cpl" - ? - C:\WINDOWS\system32\slcpappl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - ? - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.5.3.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"awqb7ntm" (awqb7ntm) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\awqb7ntm.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"Bluetooth Port Client Driver" (BTSLBCSP) - "Broadcom Corporation." - C:\WINDOWS\system32\drivers\btslbcsp.sys
"Bluetooth Serial Driver" (BTSERIAL) - "Broadcom Corporation." - C:\WINDOWS\system32\drivers\btserial.sys
"Bluetooth-Audiogerät" (btaudio) - "Broadcom Corporation." - C:\WINDOWS\System32\drivers\btaudio.sys
"Bluetooth-Bus-Enumerator" (BTKRNL) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btkrnl.sys
"Bluetooth-LAN-Zugangsserver" (BTWDNDIS) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btwdndis.sys
"Bluetooth-Modem" (btwmodem) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btwmodem.sys
"Cardex" (Cardex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPANEL.SYS
"catchme" (catchme) - ? - C:\DOKUME~1\Erich\LOKALE~1\Temp\catchme.sys  (File not found)
"DSL-Manager Service" (TSMPacket) - ? - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ElbyDelay" (ElbyDelay) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyDelay.sys
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"LUMDriver" (LUMDriver) - "IBM" - C:\WINDOWS\system32\drivers\LUMDriver.sys
"mbmiodrvr" (mbmiodrvr) - "cansoft@livewiredev.com" - C:\WINDOWS\system32\mbmiodrvr.sys
"NSNDIS5 NDIS Protocol Driver" (NSNDIS5) - ? - C:\WINDOWS\system32\NSNDIS5.SYS  (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCANDIS5" (PCANDIS5) - ? - C:\PROGRA~1\GEMEIN~1\T-Com\DSLCheck\PCANDIS5.SYS  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PQNTDrv" (PQNTDrv) - ? - C:\WINDOWS\system32\drivers\PQNTDrv.sys  (File found, but it contains no detailed information)
"RT73 USB Wireless LAN Card Driver" (RT73) - ? - C:\WINDOWS\System32\DRIVERS\rt73.sys  (File not found)
"SaiH0109" (SaiH0109) - "Saitek" - C:\WINDOWS\System32\DRIVERS\SaiH0109.sys
"SaiU0109" (SaiU0109) - "Saitek" - C:\WINDOWS\System32\DRIVERS\SaiU0109.sys
"Sentinel" (Sentinel) - "Rainbow Technologies, Inc." - C:\WINDOWS\System32\Drivers\SENTINEL.SYS
"SiS AGP Filter" (SISAGP) - "Silicon Integrated Systems Corporation" - C:\WINDOWS\System32\DRIVERS\SISAGPX.sys
"Sony Ericsson W800 driver (WDM)" (w800bus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\w800bus.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Star Force copy protection driver v4" (prodrv04) - "Protection Technology Co." - C:\WINDOWS\System32\drivers\prodrv04.sys
"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys
"Team MFP Comm Driver" (DgiVecp) - "DeviceGuys, Inc." - C:\WINDOWS\System32\Drivers\DgiVecp.sys
"Trust WB-1400T Webcam" (PAC207) - ? - C:\WINDOWS\System32\DRIVERS\pfc027.sys  (File not found)
"Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software" - C:\WINDOWS\System32\drivers\tbhsd.sys
"USB Mass Storage" (OEMSTOR) - "USB Mass Storage." - C:\WINDOWS\System32\DRIVERS\USBMSDk.SYS
"Virtueller Bluetooth-Kommunikationstreiber" (BTDriver) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btport.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WIDCOMM USB Bluetooth Driver" (BTWUSB) - "Broadcom Corporation." - C:\WINDOWS\System32\Drivers\btwusb.sys

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} "WidImg Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btxppanel.dll
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{32020A01-506E-484D-A2A8-BE3CF17601C3} "AlcoholShellEx" - ? -   (File not found | COM-object registry key not found)
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - ? -   (File not found | COM-object registry key not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - ? -   (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Program Files\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} "TuneUp Shredder Shell Context Menu Extension" - "TuneUp Software GmbH" - C:\Programme\TuneUp Utilities 2006\sdshelex.dll
{e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? -   (File not found | COM-object registry key not found)
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} "AcDcToday-Steuerung" - "Autodesk" - C:\WINDOWS\DOWNLO~1\ACDCTO~1.OCX / file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
{F281A59C-7B65-11D3-8617-0010830243BD} "AcPreview-Steuerung" - "Autodesk" - C:\WINDOWS\DOWNLO~1\ACPREV~1.OCX / file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
{1F831FA3-42FC-11D4-95A6-0080AD30DCE1} "InstaFred" - "Autodesk, Inc." - C:\WINDOWS\DOWNLO~1\InstFred.ocx / file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
{CAFEEFAC-0014-0002-0012-ABCDEFFEDCBA} "Java Plug-in 1.4.2_12" - "JavaSoft / Sun Microsystems, Inc." - C:\Programme\Java\j2re1.4.2_12\bin\npjpi142_12.dll / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - ? - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll  (File not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{AE563724-B4F5-11D4-A415-00108302FDFD} "NOXLATE-BANR" - "Autodesk, Inc." - C:\WINDOWS\DOWNLO~1\InstBanr.ocx / file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\legitcheckcontrol.dll / hxxp://download.microsoft.com/download/9/b/d/9bdc68ef-6a9f-4505-8fb8-d0d2d160e512/LegitCheckControl.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
"ICQ7.1" - "ICQ, LLC." - C:\Programme\ICQ7.1\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Erich\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Icmwnd" - ? - C:\Dokumente und Einstellungen\Erich\Anwendungsdaten\Adobe\Update\atcom.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll
"Canon BJ Language Monitor BJC-2100" - "CANON INC." - C:\WINDOWS\system32\CNMLM2F.DLL
"Canon BJ Language Monitor S330" - "CANON INC." - C:\WINDOWS\system32\CNMLM45.DLL
"hpzsnt07" - "HP" - C:\WINDOWS\system32\hpzsnt07.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"CimcoNFS Portmapper" (CimcoNFS Portmapper) - ? - C:\CIMCO\NFS\portmap.exe  (File found, but it contains no detailed information)
"CimcoNFS Server" (CimcoNFS Server) - ? - C:\CIMCO\NFS\nfs.exe  (File found, but it contains no detailed information)
"Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) - ? - "C:\Programme\WinPcap\rpcapd.exe" -d -f "C:\Programme\WinPcap\rpcapd.ini"  (File not found)
"SolidWorks Licensing Service" (SolidWorks Licensing Service) - ? - "C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe"  (File not found)
"STI Simulator" (STI Simulator) - ? - C:\WINDOWS\System32\PAStiSvc.exe  (File found, but it contains no detailed information)
"TuneUp WinStyler Theme Service" (TUWinStylerThemeSvc) - "TuneUp Software GmbH" - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Edit:
Ich habe OSAM noch geöffnet. Soll ich da noch was machen?

Antwort
Seite 3 von 5 12 3 45

Themen zu System Tool eingenistet
combofix, data, escan, forum, hallo zusammen, meldungen, netzwerk, nicht mehr, plötzlich, pop up, probleme, reboot, rojaner gefunden, schutz, surfen, system, taskmanager, testversion, tool, tools, total, trojaner, trojaner gefunden, verseucht, version, web, zugriff


« C:\Dokumente und Einstellungen\mein name\Lokale Einstellungen\Temp csrss.exe Win32.FakeAlert.tt | Antivir-Meldungen & Trojanerfund (W32.Ramnit.C und TR/Dldr.Laconic.B) »


Ähnliche Themen: System Tool eingenistet


  1. advanced system protector hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 18.02.2014 (19)
  2. Advanced System Protector hat sich eingenistet.
    Plagegeister aller Art und deren Bekämpfung - 13.01.2014 (11)
  3. System Tool - Windows XP SP3
    Log-Analyse und Auswertung - 08.04.2011 (13)
  4. system tool
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (27)
  5. System Tool entfernen!
    Plagegeister aller Art und deren Bekämpfung - 19.03.2011 (1)
  6. System mit System-Tool befallen
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (26)
  7. System Tool
    Plagegeister aller Art und deren Bekämpfung - 27.02.2011 (21)
  8. System Tool entfernt- und nun ?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (20)
  9. Virus System Tool
    Plagegeister aller Art und deren Bekämpfung - 26.01.2011 (31)
  10. System Tool
    Plagegeister aller Art und deren Bekämpfung - 23.01.2011 (18)
  11. System Tool loswerden
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (15)
  12. System Tool
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (2)
  13. System Tool 2011?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (16)
  14. System Tool entfernen
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (1)
  15. System tool
    Log-Analyse und Auswertung - 31.12.2010 (3)
  16. System Tool entfernen
    Anleitungen, FAQs & Links - 31.10.2010 (2)
  17. Security Tool eingenistet - Auswertung Combo-Fix Log-Datei
    Log-Analyse und Auswertung - 06.10.2010 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema System Tool eingenistet - ich habe keine Ahnung. Ich hab die Anleitung zu Combofix haargenau befolgt. Was jetzt? gruß Chris - System Tool eingenistet...
Archiv
Du betrachtest: System Tool eingenistet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131