hast den Rechner nicht neugestartet seitdem?

eigentlich schon.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:7631EA83
[2011.03.11 14:00:19 | 000,003,284 | ---- | M] () -- C:\Windows\SysWow64\ANIWZCS{E073ECBA-0F2F-4DDD-9B2C-FB38303BE447}
O4 - HKLM..\RunOnce: [SpybotDeletingA1016]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA1387]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA1902]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA5663]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA58]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA6241]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA8140]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA8930]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA965]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingA980]  File not found
O4 - HKLM..\RunOnce: [SpybotDeletingC2653] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC272] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC3125] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC5151] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC5162] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC5675] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC6213] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC8040] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC9412] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [SpybotDeletingC9787] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingB1587]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB173]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB1866]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB6733]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB7161]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB7299]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB8134]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB8267]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB8623]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingB9327]  File not found
O4 - HKCU..\RunOnce: [SpybotDeletingD1070] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD191] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD2142] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD3923] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD4645] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD5550] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD6416] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD649] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD8695] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD972] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

OTL hat was gefixed, danach kam der Neustart, aber keine Logfiles.

Gerade jetzt danach nochmal OTL gestartet, dann wurde sofort die Logfile angezeigt die du wohl benötigst:

Zitat:

All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:7631EA83 deleted successfully.
C:\Windows\SysWOW64\ANIWZCS{E073ECBA-0F2F-4DDD-9B2C-FB38303BE447} moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA1016 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA1387 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA1902 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA5663 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA58 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA6241 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA8140 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA8930 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA965 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingA980 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC2653 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC272 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC3125 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC5151 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC5162 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC5675 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC6213 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC8040 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC9412 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingC9787 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB1587 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB173 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB1866 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB6733 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB7161 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB7299 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB8134 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB8267 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB8623 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB9327 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD1070 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD191 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD2142 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD3923 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD4645 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD5550 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD6416 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD649 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD8695 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD972 deleted successfully.
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 589000 bytes
->Temporary Internet Files folder emptied: 45027533 bytes
->Java cache emptied: 587615 bytes
->Opera cache emptied: 7307928 bytes
->Flash cache emptied: 484 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Tommy
->Temp folder emptied: 3779 bytes
->Temporary Internet Files folder emptied: 4089033 bytes
->Java cache emptied: 21577876 bytes
->FireFox cache emptied: 47669014 bytes
->Opera cache emptied: 1324604 bytes
->Flash cache emptied: 2447 bytes

%systemdrive% .tmp files removed: 605560181 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 80682 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes
RecycleBin emptied: 2373 bytes

Total Files Cleaned = 700,00 mb


OTL by OldTimer - Version 3.2.21.0 log created on 03112011_171745

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot.
File move failed. C:\Users\Tommy\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

war/ist mein rechner kontaminiert? soll ich meine passwörter ändern?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier bitte:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-03-10.04 - Admin 11.03.2011  20:10:51.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.4094.3068 [GMT 1:00]
ausgeführt von:: c:\users\Tommy\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Java
c:\program files (x86)\Java\jre6\lib\ext\QTJava.zip
c:\users\Admin\AppData\Roaming\Local
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-11 bis 2011-03-11  ))))))))))))))))))))))))))))))
.
.
2011-03-11 19:14 . 2011-03-11 19:14	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-03-11 19:14 . 2011-03-11 19:14	--------	d-----w-	c:\users\Admin\AppData\Local\temp
2011-03-11 16:17 . 2011-03-11 16:17	--------	d-----w-	C:\_OTL
2011-03-11 12:03 . 2011-02-11 07:30	7947600	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{88FEA8B6-9593-454F-8DDB-73E713E86AF0}\mpengine.dll
2011-03-09 16:39 . 2011-03-09 16:40	--------	d-----w-	c:\program files\iTunes
2011-03-09 16:39 . 2011-03-09 16:40	--------	d-----w-	c:\program files (x86)\iTunes
2011-03-09 16:39 . 2011-03-09 16:39	--------	d-----w-	c:\program files\iPod
2011-02-24 15:46 . 2011-02-24 15:46	--------	d-----w-	c:\users\Admin\AppData\Roaming\SUPERAntiSpyware.com
2011-02-24 15:46 . 2011-02-24 15:46	--------	d-----w-	c:\programdata\!SASCORE
2011-02-24 15:46 . 2011-02-24 15:46	--------	d-----w-	c:\program files\SUPERAntiSpyware
2011-02-24 15:45 . 2011-02-24 15:46	--------	d-----w-	c:\program files (x86)\Ask.com
2011-02-23 19:09 . 2010-09-14 06:45	367104	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 19:09 . 2010-09-14 06:07	276992	----a-w-	c:\windows\SysWow64\wcncsvc.dll
2011-02-23 17:16 . 2011-01-07 07:31	442880	----a-w-	c:\windows\SysWow64\XpsPrint.dll
2011-02-23 17:16 . 2011-01-07 08:07	662528	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 17:16 . 2011-01-07 08:07	475648	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-23 17:16 . 2011-01-07 07:31	288256	----a-w-	c:\windows\SysWow64\XpsGdiConverter.dll
2011-02-18 15:36 . 2011-02-18 15:36	51712	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2011-02-18 15:36 . 2011-02-18 15:36	4184352	----a-w-	c:\windows\system32\usbaaplrc.dll
2011-02-12 08:33 . 2011-02-12 08:33	--------	d-----w-	c:\users\Tommy\AppData\Local\{62BA1032-7070-49F0-A55D-F3263E54305E}
2011-02-11 16:22 . 2010-12-18 06:11	714752	----a-w-	c:\windows\system32\kerberos.dll
2011-02-11 16:21 . 2010-12-21 06:16	214016	----a-w-	c:\windows\system32\winsrv.dll
2011-02-11 16:21 . 2011-01-26 06:53	982912	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2011-02-11 16:21 . 2011-01-26 06:53	265088	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-02-11 16:21 . 2011-01-26 06:31	144384	----a-w-	c:\windows\system32\cdd.dll
2011-02-11 16:04 . 2011-02-11 16:04	--------	d-----w-	c:\users\Tommy\AppData\Local\{0AD1E286-0E22-4FED-B632-C764AB35ACDF}
2011-02-11 16:04 . 2011-02-11 16:04	--------	d-----w-	c:\users\Tommy\AppData\Local\{FC9E9DB7-FCED-40C1-B38C-2F54EAF27A0F}
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-16 17:20 . 2010-12-11 09:44	521448	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 16:11 . 2010-10-20 19:17	270720	------w-	c:\windows\system32\MpSigStub.exe
2010-12-20 17:09 . 2010-10-20 19:17	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-20 19:17	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 21:44	1400712	----a-w-	c:\program files (x86)\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"FileHippo.com"="c:\program files (x86)\FileHippo.com\UpdateChecker.exe" [2010-08-09 248832]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2987976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"ANIWZCS2Service"="c:\program files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2009-05-07 98304]
"D-Link D-Link Wireless N DWA-140"="c:\program files (x86)\D-Link\DWA-140 revB\AirNCFG.exe" [2009-05-07 1683456]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-03-07 421160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 netr28ux;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28ux.sys [x]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [2010-06-29 128752]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-08-02 135336]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*WerKernelReporting"="c:\windows\SYSTEM32\WerFault.exe" [2009-07-14 415232]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-11  20:15:50
ComboFix-quarantined-files.txt  2011-03-11 19:15
.
Vor Suchlauf: 14 Verzeichnis(se), 961.384.865.792 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 960.878.186.496 Bytes frei
.
- - End Of File - - E37507B3F432A20C6B7DFB00271A0871
         

--- --- ---

nachdem ich combofix ausgeführt habe, sagt windows, dass ich meine internetsicherheitseinstellungen wiederherstellen solle!?

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hier bitte:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-13 18:38:00
Windows 6.1.7600  
Running: lfmns95f.exe


---- Files - GMER 1.0.15 ----

File  C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Resource\{6656D788-4AEC-4A31-934F-E44F1DD7FB1E}  0 bytes

---- EOF - GMER 1.0.15 ----
         

--- --- ---

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: FUJITSU
BIOS Manufacturer: FUJITSU // Phoenix Technologies Ltd.
System Manufacturer: FUJITSU
System Product Name: ESPRIMO P1500
Logical Drives Mask: 0x000001fc

Kernel Drivers (total 187):
0x02E62000 \SystemRoot\system32\ntoskrnl.exe
0x02E19000 \SystemRoot\system32\hal.dll
0x00BD3000 \SystemRoot\system32\kdcom.dll
0x00C8E000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00CD2000 \SystemRoot\system32\PSHED.dll
0x00CE6000 \SystemRoot\system32\CLFS.SYS
0x00E97000 \SystemRoot\system32\CI.dll
0x00F57000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00E00000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00E0F000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00E66000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x00E6F000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00D44000 \SystemRoot\system32\DRIVERS\pci.sys
0x00E79000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00D77000 \SystemRoot\System32\drivers\partmgr.sys
0x00D8C000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00DA1000 \SystemRoot\System32\drivers\volmgrx.sys
0x00C00000 \SystemRoot\System32\drivers\mountmgr.sys
0x00E86000 \SystemRoot\system32\DRIVERS\atapi.sys
0x00C1A000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x00C44000 \SystemRoot\system32\DRIVERS\msahci.sys
0x00C4F000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x00C5F000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x0102E000 \SystemRoot\system32\drivers\fltmgr.sys
0x0107A000 \SystemRoot\system32\drivers\fileinfo.sys
0x01237000 \SystemRoot\System32\Drivers\Ntfs.sys
0x0108E000 \SystemRoot\System32\Drivers\msrpc.sys
0x013DA000 \SystemRoot\System32\Drivers\ksecdd.sys
0x010EC000 \SystemRoot\System32\Drivers\cng.sys
0x01200000 \SystemRoot\System32\drivers\pcw.sys
0x01211000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x01407000 \SystemRoot\system32\drivers\ndis.sys
0x014F9000 \SystemRoot\system32\drivers\NETIO.SYS
0x01559000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01600000 \SystemRoot\System32\drivers\tcpip.sys
0x01584000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x0115F000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x015CE000 \SystemRoot\System32\Drivers\spldr.sys
0x011AB000 \SystemRoot\System32\drivers\rdyboost.sys
0x015D6000 \SystemRoot\System32\Drivers\mup.sys
0x015E8000 \SystemRoot\System32\drivers\hwpolicy.sys
0x018EC000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01926000 \SystemRoot\system32\DRIVERS\disk.sys
0x0193C000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x019A4000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x019CE000 \SystemRoot\System32\Drivers\Null.SYS
0x019D7000 \SystemRoot\System32\Drivers\Beep.SYS
0x019DE000 \SystemRoot\System32\drivers\vga.sys
0x01800000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x01825000 \SystemRoot\System32\drivers\watchdog.sys
0x01835000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x0183E000 \SystemRoot\system32\drivers\rdpencdd.sys
0x01847000 \SystemRoot\system32\drivers\rdprefmp.sys
0x01850000 \SystemRoot\System32\Drivers\Msfs.SYS
0x0185B000 \SystemRoot\System32\Drivers\Npfs.SYS
0x0186C000 \SystemRoot\system32\DRIVERS\tdx.sys
0x0188A000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02C4F000 \SystemRoot\system32\drivers\afd.sys
0x02CD9000 \SystemRoot\System32\DRIVERS\netbt.sys
0x02D1E000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x02D27000 \SystemRoot\system32\DRIVERS\pacer.sys
0x02D4D000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x02D63000 \SystemRoot\system32\DRIVERS\netbios.sys
0x02D72000 \SystemRoot\system32\DRIVERS\serial.sys
0x02D8F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x02DAA000 \SystemRoot\system32\DRIVERS\termdd.sys
0x01897000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x02DBE000 \SystemRoot\system32\drivers\nsiproxy.sys
0x02DCA000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x02DD5000 \SystemRoot\System32\drivers\discache.sys
0x02C00000 \SystemRoot\System32\Drivers\dfsc.sys
0x02C1E000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x01000000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x03E8F000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x03EB5000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x03ECB000 \SystemRoot\system32\DRIVERS\serenum.sys
0x03ED7000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x03EE2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x03F38000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x03F49000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x04890000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x0535C000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x04060000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04154000 \SystemRoot\System32\drivers\dxgmms1.sys
0x0419A000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x0535E000 \SystemRoot\system32\DRIVERS\nvm62x64.sys
0x041A7000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x041B7000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x041CD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x041F1000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x04000000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x0402F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x053C2000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x053E3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x0404A000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x04800000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x04059000 \SystemRoot\system32\DRIVERS\swenum.sys
0x0480F000 \SystemRoot\system32\DRIVERS\ks.sys
0x04852000 \SystemRoot\system32\DRIVERS\umbus.sys
0x03F6D000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x04864000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x03E00000 \SystemRoot\system32\drivers\HdAudio.sys
0x0443F000 \SystemRoot\system32\drivers\portcls.sys
0x0447C000 \SystemRoot\system32\drivers\drmk.sys
0x0449E000 \SystemRoot\system32\drivers\ksthunk.sys
0x044A4000 \SystemRoot\system32\drivers\nvhda64v.sys
0x000E0000 \SystemRoot\System32\win32k.sys
0x044BC000 \SystemRoot\System32\drivers\Dxapi.sys
0x044C8000 \SystemRoot\System32\Drivers\crashdmp.sys
0x044D6000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x044E2000 \SystemRoot\System32\Drivers\dump_msahci.sys
0x044ED000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x04500000 \SystemRoot\system32\DRIVERS\rt2870.sys
0x045EE000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x04400000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x0441D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x03E5C000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x0442B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x045F0000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x04879000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x03FC7000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x03FE2000 \SystemRoot\system32\DRIVERS\monitor.sys
0x005B0000 \SystemRoot\System32\TSDDD.dll
0x0196C000 \SystemRoot\system32\drivers\luafv.sys
0x02C2F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x00C6A000 \SystemRoot\system32\drivers\WudfPf.sys
0x06428000 \??\C:\Program Files\Sandboxie\SbieDrv.sys
0x0644F000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x06464000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x064B7000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x064CA000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x00750000 \SystemRoot\System32\cdd.dll
0x064E2000 \SystemRoot\system32\drivers\HTTP.sys
0x065AA000 \SystemRoot\system32\DRIVERS\bowser.sys
0x065C8000 \SystemRoot\System32\drivers\mpsdrv.sys
0x06ABF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x06AEC000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x06B3A000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x06A00000 \SystemRoot\system32\drivers\peauth.sys
0x06AA6000 \SystemRoot\System32\Drivers\secdrv.SYS
0x06B5D000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x06B8A000 \SystemRoot\System32\drivers\tcpipreg.sys
0x07081000 \SystemRoot\System32\DRIVERS\srv2.sys
0x070E8000 \SystemRoot\System32\DRIVERS\srv.sys
0x0717E000 \SystemRoot\System32\drivers\ipnat.sys
0x071AD000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x07000000 \SystemRoot\system32\drivers\spsys.sys
0x76D70000 \Windows\System32\ntdll.dll
0x47890000 \Windows\System32\smss.exe
0xFF090000 \Windows\System32\apisetschema.dll
0xFFC50000 \Windows\System32\autochk.exe
0xFEE20000 \Windows\System32\iertutil.dll
0xFED80000 \Windows\System32\msvcrt.dll
0xFDFF0000 \Windows\System32\shell32.dll
0x76C50000 \Windows\System32\kernel32.dll
0xFDFE0000 \Windows\System32\lpk.dll
0xFDF00000 \Windows\System32\oleaut32.dll
0xFDDF0000 \Windows\System32\msctf.dll
0x76F40000 \Windows\System32\normaliz.dll
0xFDDD0000 \Windows\System32\imagehlp.dll
0xFDCF0000 \Windows\System32\advapi32.dll
0xFDCA0000 \Windows\System32\Wldap32.dll
0xFDC20000 \Windows\System32\difxapi.dll
0xFDBF0000 \Windows\System32\imm32.dll
0xFDA70000 \Windows\System32\urlmon.dll
0xFDA20000 \Windows\System32\ws2_32.dll
0xFD8F0000 \Windows\System32\wininet.dll
0xFD7C0000 \Windows\System32\rpcrt4.dll
0xFD6F0000 \Windows\System32\usp10.dll
0xFD6D0000 \Windows\System32\sechost.dll
0x76F30000 \Windows\System32\psapi.dll
0xFD650000 \Windows\System32\shlwapi.dll
0xFD5B0000 \Windows\System32\clbcatq.dll
0xFD5A0000 \Windows\System32\nsi.dll
0x76B50000 \Windows\System32\user32.dll
0xFD390000 \Windows\System32\ole32.dll
0xFD320000 \Windows\System32\gdi32.dll
0xFD280000 \Windows\System32\comdlg32.dll
0xFD0A0000 \Windows\System32\setupapi.dll
0xFD000000 \Windows\System32\comctl32.dll
0xFCE90000 \Windows\System32\crypt32.dll
0xFCE20000 \Windows\System32\KernelBase.dll
0xFCDE0000 \Windows\System32\cfgmgr32.dll
0xFCDA0000 \Windows\System32\wintrust.dll
0xFCD80000 \Windows\System32\devobj.dll
0xFCD70000 \Windows\System32\msasn1.dll
0x760F0000 \Windows\SysWOW64\normaliz.dll

Processes (total 57):
0 System Idle Process
4 System
276 C:\Windows\System32\smss.exe
384 csrss.exe
452 C:\Windows\System32\wininit.exe
472 csrss.exe
508 C:\Windows\System32\services.exe
528 C:\Windows\System32\lsass.exe
536 C:\Windows\System32\lsm.exe
628 C:\Windows\System32\svchost.exe
728 C:\Windows\System32\nvvsvc.exe
768 C:\Windows\System32\svchost.exe
832 C:\Windows\System32\svchost.exe
864 C:\Windows\System32\svchost.exe
904 C:\Windows\System32\svchost.exe
968 C:\Windows\System32\audiodg.exe
1012 C:\Windows\System32\svchost.exe
324 C:\Program Files\Sandboxie\SbieSvc.exe
956 C:\Windows\System32\svchost.exe
1092 C:\Windows\System32\winlogon.exe
1184 C:\Windows\System32\spoolsv.exe
1200 C:\Windows\System32\taskeng.exe
1256 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
1324 C:\Windows\System32\svchost.exe
1476 C:\Program Files\SUPERAntiSpyware\SASCore64.exe
1500 C:\Windows\SysWOW64\ANIWConnService.exe
1544 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
1612 C:\Windows\System32\nvvsvc.exe
1644 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1684 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1712 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
1732 C:\Windows\System32\conhost.exe
1744 C:\Windows\System32\svchost.exe
1856 C:\Windows\System32\svchost.exe
1992 C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
2632 C:\Windows\System32\alg.exe
2752 WUDFHost.exe
2880 C:\Windows\servicing\TrustedInstaller.exe
3024 C:\Windows\System32\taskhost.exe
3064 C:\Windows\System32\dwm.exe
2180 C:\Windows\explorer.exe
3152 C:\Program Files\Sandboxie\SbieCtrl.exe
3228 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
3236 C:\Program Files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe
3244 C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
3260 C:\Program Files (x86)\iTunes\iTunesHelper.exe
3484 C:\Program Files\iPod\bin\iPodService.exe
3584 C:\Windows\System32\SearchIndexer.exe
3744 C:\Program Files (x86)\Opera\opera.exe
1304 C:\Windows\System32\SearchProtocolHost.exe
3348 C:\Windows\System32\SearchFilterHost.exe
3968 C:\Windows\System32\sppsvc.exe
568 C:\Windows\System32\svchost.exe
1312 C:\Program Files\Windows Media Player\wmpnetwk.exe
2700 WmiPrvSE.exe
2500 C:\Users\Tommy\Desktop\MBRCheck.exe
3504 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`808cd800 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive1 Model Number: HitachiHDT721010SLA360, Rev: ST6OA3AA
PhysicalDrive0 Model Number: HitachiHDT721010SLA360, Rev: ST6OA3AA

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive1 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
931 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 4597B86E5C26EF38751DCC0504D119D7F3351C8A


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6054

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.03.2011 18:28:48
mbam-log-2011-03-14 (18-28-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 252658
Laufzeit: 26 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

war mein System jetzt kontaminiert? Sollte ich Passwörter ändern? ich mache auch Onlinebanking!

SUPERantispyeware folgt gleich...

EDIT:

Zitat:

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 03/14/2011 bei 07:17 PM

Version der Applikation : 4.49.1000

Version der Kern-Datenbank : 6590
Version der Spur-Datenbank : 4402

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:19:57

Gescannte Speicherelemente : 566
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 12575
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 25344
Erfasste Datei-Elemente : 0

Sieht ok aus, keine Funde.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Probleme hatte ich nicht, nur Funde.
Aber wie du siehst keine neuen Funde.


Dann bedanke ich mich mal recht herzlich.

Ich habe noch ein älteres Notebook, dass gecheckt werden müsste.
Wenn das durch ist werde ich etwas spenden und meinen Benutzernamen im Verwendungszweck angeben.

EDIT:
wenn ich die Passwörter nicht ändern muss, waren dann die Funde falsepositives? Trojan.Dropper und Trojan.FakeMS hören sich schon ziemlich nach "ausspionieren" aus.

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.