Hallo liebe Helfer und Retter,

seit Tagen versuche ich gegen diverse Probleme meines Rechners anzukommen, da ich aber Laie bin, habe ich aber offensichtlich keine Chance, deswegen wende ich mich hilfesuchend an Euch.

Folgende Sachverhalte sind mir aufgefallen:

1. Der Rechner "friert" in unregelmäßigen Abständen ein, so dass z.B. ein Malware-Lauf statt 5 min. 50 min. dauert (bei einem vollständigen Scan über 4 Stunden). Bei allen laufenden Programmen steht dann immer "keine Rückmeldung". Laut Sytemüberwachung ist der Rechner aber nie im Grenzbereich (z.B. CPU-Auslastung, Arbeitsspeicher), man kann das auch daran erkennen, dass in den Malware-Protokollen die Bruttolaufzeit steht. Start und Öfnnen von Firefox dauert bis zu 20 Minuten. Das "Einfrieren" ist völlig unabhängig davon, welche Programme ich nutze.

2. Beim Postbank Online-Banking kam plötzlich direkt nach dem Einloggen die Aufforderung iTAN's einzugeben. Ich habe sofort von einem anderen Rechner das Passwort geändert und das Online-Banking bis jetzt eingestellt.

3. Ab und an (nicht regelmäßig) will der Rechner das (beim Kauf schon vorinnstallierte Office Student Home) Paket installieren (Offensichtlich hat der Rechner selbst ein Dokument geöffnet und lädt dann die Lizensierungsseite). Selbst wenn ich mit dem Task-Manager die Tasks beende, kommen diese sofort wieder.

Wie habe ich bisher versucht, meinen Rechner zu schützen:

Direkt nach dem Kauf des Rechners habe ich AntiVir Personal installiert (aktuelle Version 10.0.0.611) sowie Spybot-Search&Destroy und Ad-Aware (jeweils aktuell).

Was habe ich bisher versucht:

mehrfacher Scan mit den drei oben genannten Programmen. Nachdem ich auf Euer Forum gestoßen bin, habe ich zusätzlich Malwarebytes installiert und auch mehrfach (offline und ohne Antivirenprogramm) laufen lassen.

Regelmäßig benutze ich auch CCleaner und WiseRegistry Cleaner.

Alle Programme haben auch diverse Trojaner angezeigt, in die Quarantäne verschoben. AntiVir hat vielfach den Trojaner HTML/Drop.Agent.AB gefunden. Gestern war der Virus bei zwei Fullscans (siehe Anhang: AVSCAN vom 12.3.2011) weg, heute ist er wieder da :-( (siehe Anhang: AVSCAN vom 13.3.2011)

Protokolle von Malwarebytes, OTL und AntiVir der letzten Tage sind im Anhang (frühere können ebenfalls bei Bedarf geliefert werden).

Die Frage, die ich mir stelle, ob hier noch etwas zu retten ist oder eine Neuistallation unausweichlich ist. Meine Daten (Bilder, Videos, Dokumente usw.) habe ich zusätzlich auf einer externen Festplatte gesichert.

In den Scans ist ein Vorname enthalten. Da es aber nicht meiner ist, habe ich ihn nicht anonymisiert.

Auf meinem Rechner befindet sich auch Shareaza (ich weiß, zweifelhaft) wird auch nicht benutzt (hatte ich mal ausprobiert, wie das funktioniert... nach diverser Literaturrecherche aber wieder eingestellt).

Ich hoffe, die Angaben sind als Eingangsinformation ausreichend.

Vielen Dank für eine Hilfe.

Gruß Knuffi

P.S.: Aufgrund der Tatsache, dass jeder Scan durchaus mehrere Stunden dauert, ist das ganze ziemlich zäh und nervig. Das Arbeiten inzwischen so gut wie unmöglich. Lustigerweise hatte ich jetzt beim Erstellen dieses Themas keine Probleme.....

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2011.03.13 09:11:25 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{B72841E9-8884-4246-8E89-BEF97073B987}
[2011.03.12 15:24:28 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{E5B00A6C-C0AF-448E-8BC3-FBB7892E5AEA}
[2011.03.12 15:04:02 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{F35E8002-2408-47F2-9EC3-7FF6FF863E50}
[2011.03.12 10:50:44 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{28DCF959-CABB-4A92-9FF3-37C7F0F75788}
[2011.03.11 22:49:23 | 000,000,000 | ---D | C] -- C:\Users\Klaus\temp
[2011.03.11 22:48:19 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{9B2921E0-992A-4A65-B60A-9989F4B6289D}
[2011.03.10 10:42:42 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{E94690C3-C8C9-4185-B60C-FCB538AFBBA3}
[2011.03.10 09:22:55 | 000,000,000 | ---D | C] -- C:\perflogs
[2011.03.09 22:42:06 | 000,000,000 | ---D | C] -- C:\Users\Klaus\AppData\Local\{BC54F72E-C12D-458D-861C-C5EF68C8BCFB}
[2011.03.09 19:28:05 | 000,000,000 | ---D | C] -- C:\Users\Klaus\tmp
[2011.03.09 14:39:45 | 000,000,000 | ---D | C] -- C:\Users\Klaus\vaxxyuyl
@Alternate Data Stream - 16 bytes -> C:\Users\Klaus\Downloads:Shareaza.GUID
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

vielen Dank für Deine schnelle Reaktion. Ich habe alles so ausgeführt, nachdem ich auf "Fix" gedrückt hat sich aber kein Logfile geöffnet, sondern es kam nach ca. 1 min. die Aufforderung, den Rechner neu zu starten, was ich gerade mache (ich schreibe parallel von einem anderen Rechner diese Antwort). Jetzt habe ich ja vermutlich das Problem, dass ich von der Aktion das Logfile, das ich posten soll, nicht habe (oder wird das automatisch irgendwo gespeichert und ich kann es noch posten?). Was soll ich als nächstes machen?

Viele Grüße,

Knuffi

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Arne,

der Rechner hat mir direkt nach dem Hochfahren das OTL-Logfile angezeigt. Da beim Starten aber automatisch AntiVir mit aktiviert wird, bin ich mir jetzt unsicher, ob der Virenscanner nicht jetzt schon im Logfile irgendetwas rumgemurkst hat.....

Beim Ausführen des Skriptes war AntiVir auf jeden Fall deaktiviert.

AntiVir hat jetzt beim Start angeschlagen und ein Objekt egpkjxiy.exe mit dem Fund TR/Spy.SpyEyes.fgn gefunden und fragt mich jetzt, ob ich dieses in die Quarantäne veschieben möchte.

Und nun?

Viele Grüße,

Knuffi

P.S.: Kann ich die Datei im Upload-Channel auch normal hochladen, ich habe zur Zeit glaube ich kein Zip-Programm auf dem Rechner?

Hallo Arne,

ich habe gesehen, es ist ja gar keine Datei, sondern mehrere (hierarchische) Ordner.....

Aus diesem Grund habe ich gerade 7.zip geladen, so dass dies jetzt kein Hindernis mehr ist :-)

Viele Grüße,

Knuffi

Deaktivier doch einfach mal den Scanner und mach das was ich o.g. habe...

Hallo Arne,

ich habe jetzt AntiVir deaktiviert, kann aber leider den Ordner_OTL nicht zippen :-(

7z meldet:

0 WARNING: Zugriff verweigert
1 :C:\_OTL\MovedFiles\03142011_182430\C_\perflogs\
2 WARNING: Zugriff verweigert
3 :C:\_OTL\MovedFiles\03142011_C_perflogs\System\Diagnostics\PC2009_20110310-000001\
4 WARNING: Zugriff verweigert
5 :C:\_OTL\MovedFiles\03142011_C_perflogs\System\Diagnostics\PC2009_20110310-000002\

Sorry, dass das nicht so klappt, wie wir uns beide das wünschen....

Gruß Knuffi

Kopier den Ordner C:\_OTL mal auf deinen Desktop. Wenn das ohne Fehlermeldung geht, zip den Ordner von dort aus mal.

Hallo Arne,

prima, das hat geklappt.... _OTL.uip müsste bei Dir angekommen sein.

Viele Grüße,

Klaus

Hallo Arne,

ich muss jetzt leider weg. Ich kann Dir zwar im Laufe des morgigen Tages antworten aber nichts von meinem Rechner liefern, erst wieder morgen zwischen 18 und 20 Uhr.

Ich danke Dir für die bisherige Unterstützung.

Viele Grüße,

Knuffi

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

ich habe alles, wie erfordert ausgeführt. Bevor bei ComboFix die erste Stufe erreicht wurde, kam ein Fenster hoch (Handleviewer funktioniert nicht mehr), offensichtlich wurde hier noch ein für mich nicht sichtbarer Prozess ausgeführt. Nach dem Schließen der Hinweisbox lief aber alles reibungslos durch.

hier kommt der Inhalt der Log-Datei:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-03-14.07 - Klaus 15.03.2011  18:49:03.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3071.1953 [GMT 1:00]
ausgeführt von:: c:\users\Klaus\Desktop\Cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Felix\AppData\Roaming\.#
c:\users\Klaus\AppData\Local\Temp\NEW6825.tmp.exe
c:\users\Klaus\AppData\Local\Temp\setup.exe
c:\users\Klaus\AppData\Roaming\.#
c:\users\Klaus\AppData\Roaming\.#\MBX@12A4@1402740.###
c:\users\Klaus\AppData\Roaming\.#\MBX@12A4@1402770.###
c:\users\Klaus\AppData\Roaming\.#\MBX@1D84@6F2740.###
c:\users\Klaus\AppData\Roaming\.#\MBX@1D84@6F2770.###
c:\users\Klaus\AppData\Roaming\.#\MBX@21A8@15B2740.###
c:\users\Klaus\AppData\Roaming\.#\MBX@21A8@15B2770.###
c:\users\Nicolas\AppData\Roaming\.#
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-15 bis 2011-03-15  ))))))))))))))))))))))))))))))
.
.
2011-03-15 18:06 . 2011-03-15 18:06	--------	d-----w-	c:\users\Klaus\AppData\Local\temp
2011-03-15 17:31 . 2011-03-15 17:31	--------	d-----w-	c:\users\Klaus\AppData\Local\{B03665E3-161A-405D-90C5-8B281A49C21E}
2011-03-14 18:09 . 2011-03-14 18:09	--------	d-----w-	c:\program files\7-Zip
2011-03-14 17:24 . 2011-03-14 17:24	--------	d-----w-	C:\_OTL
2011-03-14 17:18 . 2011-03-14 17:18	--------	d-----w-	c:\users\Klaus\AppData\Local\{ED399696-3667-46C7-984C-984DEC21AE91}
2011-03-13 20:11 . 2011-03-13 20:11	--------	d-----w-	c:\users\Klaus\AppData\Local\{AF27BD56-ED36-452C-905D-7975D1A9D7F4}
2011-03-11 07:36 . 2011-03-11 07:36	--------	d-----w-	c:\users\Klaus\AppData\Roaming\Malwarebytes
2011-03-11 07:36 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-11 07:36 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-11 07:36 . 2011-03-13 11:09	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-09 20:07 . 2011-02-19 05:33	802304	----a-w-	c:\windows\system32\FntCache.dll
2011-03-09 20:07 . 2011-02-19 05:32	1074176	----a-w-	c:\windows\system32\DWrite.dll
2011-03-09 20:07 . 2011-02-19 05:32	739840	----a-w-	c:\windows\system32\d2d1.dll
2011-03-09 20:07 . 2010-12-23 05:28	850432	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 20:07 . 2010-12-23 05:28	642048	----a-w-	c:\windows\system32\CPFilters.dll
2011-03-09 20:07 . 2010-12-23 05:28	534528	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 20:07 . 2010-12-23 05:24	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 20:07 . 2010-12-18 05:30	2690560	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 20:07 . 2010-12-18 05:26	1034240	----a-w-	c:\windows\system32\mstsc.exe
2011-03-08 09:41 . 2011-03-09 09:41	--------	d-----w-	c:\users\Klaus\AppData\Local\{058FD79A-4E31-4556-B11C-1770578011ED}
2011-03-07 08:33 . 2011-03-07 20:34	--------	d-----w-	c:\users\Klaus\AppData\Local\{17511119-304C-44A7-9AF1-CCAD6377E884}
2011-03-06 09:31 . 2011-03-06 09:32	--------	d-----w-	c:\users\Klaus\AppData\Local\{53097284-437E-43A6-B516-85CBAB082539}
2011-03-05 21:31 . 2011-03-05 21:31	--------	d-----w-	c:\users\Klaus\AppData\Local\{6342A243-79BA-4BF1-B6E4-AE3969175F82}
2011-03-05 14:52 . 2011-03-04 08:20	16432	----a-w-	c:\windows\system32\lsdelete.exe
2011-03-05 09:09 . 2011-03-04 08:20	64512	----a-w-	c:\windows\system32\drivers\Lbd.sys
2011-03-05 08:14 . 2011-03-05 08:15	--------	d-----w-	c:\users\Klaus\AppData\Local\{6E12CA3E-0502-4C80-926F-B43099BA7C76}
2011-03-04 19:58 . 2011-03-04 19:58	--------	d-----w-	c:\users\Klaus\AppData\Local\{BB41F31D-4233-47ED-BB6A-F3F070734A87}
2011-03-01 22:41 . 2011-03-01 22:41	--------	d-----w-	c:\program files\Lavasoft
2011-03-01 18:25 . 2011-03-02 18:27	--------	d-----w-	c:\users\Klaus\AppData\Local\{97F27326-E686-4784-80FF-840F8176DA43}
2011-02-27 09:47 . 2011-02-27 09:47	--------	d-----w-	c:\users\Klaus\AppData\Local\{7ACCF5B0-BA30-4F31-8DA2-AD2F196C1551}
2011-02-26 16:14 . 2011-02-26 16:15	--------	d-----w-	c:\users\Klaus\AppData\Local\{0C6A7A67-B3BC-4A54-B078-8580D891FDD5}
2011-02-26 04:14 . 2011-02-26 04:14	--------	d-----w-	c:\users\Klaus\AppData\Local\{58D6593F-BD75-46CA-A33D-0D38EC094C3D}
2011-02-25 07:16 . 2011-02-25 07:18	--------	d-----w-	c:\users\Klaus\AppData\Local\{B009FB84-B065-4BEA-A3F0-2DCDABC25630}
2011-02-24 18:27 . 2011-02-24 18:28	--------	d-----w-	c:\users\Klaus\AppData\Local\{94784A36-BC4B-48AD-AA01-62D01A657C93}
2011-02-23 19:34 . 2010-09-14 06:07	276992	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 19:17 . 2011-01-07 07:31	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 19:17 . 2011-01-07 07:31	288256	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-23 17:54 . 2011-02-23 17:56	--------	d-----w-	c:\users\Klaus\AppData\Local\{6BA416FF-C7E6-4A1F-B4AF-40F6218F8688}
2011-02-19 08:21 . 2011-02-19 08:21	--------	d-----w-	c:\users\Nicolas\AppData\Local\{12D8A935-2ABA-4043-8DA6-4003C20B9A1D}
2011-02-19 06:57 . 2011-02-19 06:57	--------	d-----w-	c:\users\Nicolas\AppData\Roaming\Real Desktop
2011-02-15 06:52 . 2011-02-20 18:56	--------	d-----w-	c:\users\Klaus\AppData\Local\{41F20678-43FD-4E2A-ABCD-8619DE075E24}
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-03 05:45 . 2011-02-09 05:17	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-02-02 16:11 . 2009-10-05 16:03	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-01-07 07:27 . 2011-02-09 05:18	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-01-07 05:33 . 2011-02-09 05:18	294400	----a-w-	c:\windows\system32\atmfd.dll
2011-01-05 18:20 . 2011-01-05 18:20	24704	----a-w-	c:\windows\system32\drivers\NinjaUSB.sys
2011-01-05 05:37 . 2011-02-09 05:18	428032	----a-w-	c:\windows\system32\vbscript.dll
2011-01-05 03:37 . 2011-02-09 05:18	2329088	----a-w-	c:\windows\system32\win32k.sys
2010-12-21 05:38 . 2011-02-09 05:17	73728	----a-w-	c:\windows\system32\wscsvc.dll
2010-12-21 05:38 . 2011-02-09 05:17	51200	----a-w-	c:\windows\system32\wscapi.dll
2010-12-21 05:38 . 2011-02-09 05:17	981504	----a-w-	c:\windows\system32\wininet.dll
2010-12-21 05:38 . 2011-02-09 05:17	350720	----a-w-	c:\windows\system32\winhttp.dll
2010-12-21 05:38 . 2011-02-09 05:17	204800	----a-w-	c:\windows\system32\WebClnt.dll
2010-12-21 05:38 . 2011-02-09 05:17	204288	----a-w-	c:\windows\system32\upnp.dll
2010-12-21 05:38 . 2011-02-09 05:17	14336	----a-w-	c:\windows\system32\slwga.dll
2010-12-21 05:36 . 2011-02-09 05:17	1389568	----a-w-	c:\windows\system32\msxml6.dll
2010-12-21 05:36 . 2011-02-09 05:17	1236992	----a-w-	c:\windows\system32\msxml3.dll
2010-12-21 05:34 . 2011-02-09 05:17	80384	----a-w-	c:\windows\system32\davclnt.dll
2010-12-20 17:11 . 2009-11-27 21:28	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-18 05:29 . 2011-02-09 05:18	44544	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-18 05:29 . 2011-02-09 05:18	541184	----a-w-	c:\windows\system32\kerberos.dll
2010-12-18 04:20 . 2011-02-09 05:18	386048	----a-w-	c:\windows\system32\html.iec
2010-12-18 03:47 . 2011-02-09 05:18	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2006-05-03 10:06	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 11:47	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 13:30	216064	--sh--r-	c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Logitech Vid"="c:\program files\Logitech\Vid HD\Vid.exe" [2011-01-13 6129496]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-03-29 1654584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2010-09-22 884584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HD Writer.lnk]
backup=c:\windows\pss\HD Writer.lnk.CommonStartup
backupExtension=.CommonStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-07-02 18:12	102400	----a-w-	c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2009-06-03 19:59	103720	------w-	c:\program files\CyberLink\Power2Go\CLMLSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-03-05 15:32	1135912	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-01-05 08:18	133432	----a-w-	c:\program files\ICQ7.2\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-06-15 14:33	141624	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-11-10 01:54	4240760	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
2011-01-28 16:36	526336	----a-w-	c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd]
2005-10-11 19:54	339968	----a-w-	c:\windows\vsnpstd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2009 Browser Monitor]
2010-06-22 13:11	49664	----a-w-	c:\program files\Steganos Privacy Suite 11\SteganosBrowserMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2009 File Redirection Starter]
2010-06-22 13:07	17408	----a-w-	c:\program files\Steganos Privacy Suite 11\fredirstarter.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2009 HotKeys]
2010-06-22 13:11	80896	----a-w-	c:\program files\Steganos Privacy Suite 11\SteganosHotKeyService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-03-16 18:52	202256	----a-w-	c:\program files\Common Files\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
2008-08-07 15:18	90112	----a-w-	c:\progra~1\MAGIX\VIDEO_~1\Trayserver.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2006-02-10 659456]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-03-08 1405384]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2011-03-04 15232]
R3 NinjaUSB;Freecom Turbo HDD USB 2.0;c:\windows\system32\drivers\NinjaUSB.sys [2011-01-05 24704]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
R4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R4 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S0 DiskSec;Magix Volume Filter Driver; [x]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2011-03-04 64512]
S1 SLEE_17_DRIVER;Steganos Live Encryption Engine 17 [Driver];c:\windows\system32\drivers\Sleen17.sys [2010-02-17 14:00 94560]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2010-07-11 110304]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-03 135336]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-08-21 66592]
S3 NxpCap;CTX capture service;c:\windows\system32\DRIVERS\NxpCap.sys [2009-07-30 1488096]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2009-09-22 579072]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2009-05-13 13720]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - FSUSBEXDISK
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Download with &Shareaza - c:\program files\Shareaza\RazaWebHook32.dll/3000
IE: Free YouTube Download - c:\users\Klaus\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Klaus\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MIF5BA~1\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
FF - ProfilePath - c:\users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\ldlr1yhb.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.de/|GMX - E-Mail, FreeMail, De-Mail, Themen- & Shopping-Portal - kostenlos
FF - prefs.js: keyword.URL - hxxp://start.facemoods.com/results.php?f=5&a=desktop&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programdata\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Steganos Private Favorites: {09F060FA-566D-42D7-BF79-97AB30863433} - c:\program files\Steganos Privacy Suite 11\pfplugin
FF - Ext: Steganos Password Manager: {00F0643E-B367-4779-B45D-7046EBA37A88} - c:\program files\Steganos Privacy Suite 11\spmplugin3
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: Nero Toolbar: toolbar@ask.com - %profile%\extensions\toolbar@ask.com
FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\Klaus\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-876373040-3499387272-2508416340-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-876373040-3499387272-2508416340-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-15  19:08:39
ComboFix-quarantined-files.txt  2011-03-15 18:08
.
Vor Suchlauf: 11 Verzeichnis(se), 199.445.962.752 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 199.397.867.520 Bytes frei
.
- - End Of File - - 3C4DDD18D9E97CD03B81735E16701D85
         

--- --- ---
Viele Grüße,

Knuffi

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Dirlook::
c:\users\Klaus\AppData\Local\temp
c:\users\Klaus\AppData\Local\{B03665E3-161A-405D-90C5-8B281A49C21E}
c:\users\Klaus\AppData\Local\{ED399696-3667-46C7-984C-984DEC21AE91}
c:\users\Klaus\AppData\Local\{AF27BD56-ED36-452C-905D-7975D1A9D7F4}
c:\users\Klaus\AppData\Local\{058FD79A-4E31-4556-B11C-1770578011ED}
c:\users\Klaus\AppData\Local\{17511119-304C-44A7-9AF1-CCAD6377E884}
c:\users\Klaus\AppData\Local\{53097284-437E-43A6-B516-85CBAB082539}
c:\users\Klaus\AppData\Local\{6342A243-79BA-4BF1-B6E4-AE3969175F82}
c:\users\Klaus\AppData\Local\{6E12CA3E-0502-4C80-926F-B43099BA7C76}
c:\users\Klaus\AppData\Local\{BB41F31D-4233-47ED-BB6A-F3F070734A87}
c:\users\Klaus\AppData\Local\{97F27326-E686-4784-80FF-840F8176DA43}
c:\users\Klaus\AppData\Local\{7ACCF5B0-BA30-4F31-8DA2-AD2F196C1551}
c:\users\Klaus\AppData\Local\{0C6A7A67-B3BC-4A54-B078-8580D891FDD5}
c:\users\Klaus\AppData\Local\{58D6593F-BD75-46CA-A33D-0D38EC094C3D}
c:\users\Klaus\AppData\Local\{B009FB84-B065-4BEA-A3F0-2DCDABC25630}
c:\users\Klaus\AppData\Local\{94784A36-BC4B-48AD-AA01-62D01A657C93}
c:\users\Klaus\AppData\Local\{6BA416FF-C7E6-4A1F-B4AF-40F6218F8688}
c:\users\Nicolas\AppData\Local\{12D8A935-2ABA-4043-8DA6-4003C20B9A1D}
c:\users\Klaus\AppData\Local\{41F20678-43FD-4E2A-ABCD-8619DE075E24}
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

hab alles so gemacht, hier die neue Log-Datei:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-03-14.07 - Klaus 16.03.2011   7:29.2.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3071.2012 [GMT 1:00]
ausgeführt von:: c:\users\Klaus\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\users\Klaus\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-16 bis 2011-03-16  ))))))))))))))))))))))))))))))
.
.
2011-03-16 06:42 . 2011-03-16 06:42	--------	d-----w-	c:\users\Nicolas\AppData\Local\temp
2011-03-16 06:42 . 2011-03-16 06:42	--------	d-----w-	c:\users\Felix\AppData\Local\temp
2011-03-16 06:42 . 2011-03-16 06:42	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-03-16 06:14 . 2011-03-16 06:15	--------	d-----w-	c:\users\Klaus\AppData\Local\{D00EED40-AE33-40FE-96C1-8A656FFA19A3}
2011-03-15 18:08 . 2011-03-16 06:42	--------	d-----w-	c:\users\Klaus\AppData\Local\temp
2011-03-15 17:31 . 2011-03-15 17:31	--------	d-----w-	c:\users\Klaus\AppData\Local\{B03665E3-161A-405D-90C5-8B281A49C21E}
2011-03-14 18:09 . 2011-03-14 18:09	--------	d-----w-	c:\program files\7-Zip
2011-03-14 17:24 . 2011-03-14 17:24	--------	d-----w-	C:\_OTL
2011-03-14 17:18 . 2011-03-14 17:18	--------	d-----w-	c:\users\Klaus\AppData\Local\{ED399696-3667-46C7-984C-984DEC21AE91}
2011-03-13 20:11 . 2011-03-13 20:11	--------	d-----w-	c:\users\Klaus\AppData\Local\{AF27BD56-ED36-452C-905D-7975D1A9D7F4}
2011-03-11 07:36 . 2011-03-11 07:36	--------	d-----w-	c:\users\Klaus\AppData\Roaming\Malwarebytes
2011-03-11 07:36 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-11 07:36 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-11 07:36 . 2011-03-13 11:09	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-09 20:07 . 2011-02-19 05:33	802304	----a-w-	c:\windows\system32\FntCache.dll
2011-03-09 20:07 . 2011-02-19 05:32	1074176	----a-w-	c:\windows\system32\DWrite.dll
2011-03-09 20:07 . 2011-02-19 05:32	739840	----a-w-	c:\windows\system32\d2d1.dll
2011-03-09 20:07 . 2010-12-23 05:28	850432	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 20:07 . 2010-12-23 05:28	642048	----a-w-	c:\windows\system32\CPFilters.dll
2011-03-09 20:07 . 2010-12-23 05:28	534528	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 20:07 . 2010-12-23 05:24	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 20:07 . 2010-12-18 05:30	2690560	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 20:07 . 2010-12-18 05:26	1034240	----a-w-	c:\windows\system32\mstsc.exe
2011-03-08 09:41 . 2011-03-09 09:41	--------	d-----w-	c:\users\Klaus\AppData\Local\{058FD79A-4E31-4556-B11C-1770578011ED}
2011-03-07 08:33 . 2011-03-07 20:34	--------	d-----w-	c:\users\Klaus\AppData\Local\{17511119-304C-44A7-9AF1-CCAD6377E884}
2011-03-06 09:31 . 2011-03-06 09:32	--------	d-----w-	c:\users\Klaus\AppData\Local\{53097284-437E-43A6-B516-85CBAB082539}
2011-03-05 21:31 . 2011-03-05 21:31	--------	d-----w-	c:\users\Klaus\AppData\Local\{6342A243-79BA-4BF1-B6E4-AE3969175F82}
2011-03-05 14:52 . 2011-03-04 08:20	16432	----a-w-	c:\windows\system32\lsdelete.exe
2011-03-05 09:09 . 2011-03-04 08:20	64512	----a-w-	c:\windows\system32\drivers\Lbd.sys
2011-03-05 08:14 . 2011-03-05 08:15	--------	d-----w-	c:\users\Klaus\AppData\Local\{6E12CA3E-0502-4C80-926F-B43099BA7C76}
2011-03-04 19:58 . 2011-03-04 19:58	--------	d-----w-	c:\users\Klaus\AppData\Local\{BB41F31D-4233-47ED-BB6A-F3F070734A87}
2011-03-01 22:41 . 2011-03-01 22:41	--------	d-----w-	c:\program files\Lavasoft
2011-03-01 18:25 . 2011-03-02 18:27	--------	d-----w-	c:\users\Klaus\AppData\Local\{97F27326-E686-4784-80FF-840F8176DA43}
2011-02-27 09:47 . 2011-02-27 09:47	--------	d-----w-	c:\users\Klaus\AppData\Local\{7ACCF5B0-BA30-4F31-8DA2-AD2F196C1551}
2011-02-26 16:14 . 2011-02-26 16:15	--------	d-----w-	c:\users\Klaus\AppData\Local\{0C6A7A67-B3BC-4A54-B078-8580D891FDD5}
2011-02-26 04:14 . 2011-02-26 04:14	--------	d-----w-	c:\users\Klaus\AppData\Local\{58D6593F-BD75-46CA-A33D-0D38EC094C3D}
2011-02-25 07:16 . 2011-02-25 07:18	--------	d-----w-	c:\users\Klaus\AppData\Local\{B009FB84-B065-4BEA-A3F0-2DCDABC25630}
2011-02-24 18:27 . 2011-02-24 18:28	--------	d-----w-	c:\users\Klaus\AppData\Local\{94784A36-BC4B-48AD-AA01-62D01A657C93}
2011-02-23 19:34 . 2010-09-14 06:07	276992	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 19:17 . 2011-01-07 07:31	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 19:17 . 2011-01-07 07:31	288256	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-23 17:54 . 2011-02-23 17:56	--------	d-----w-	c:\users\Klaus\AppData\Local\{6BA416FF-C7E6-4A1F-B4AF-40F6218F8688}
2011-02-19 08:21 . 2011-02-19 08:21	--------	d-----w-	c:\users\Nicolas\AppData\Local\{12D8A935-2ABA-4043-8DA6-4003C20B9A1D}
2011-02-19 06:57 . 2011-02-19 06:57	--------	d-----w-	c:\users\Nicolas\AppData\Roaming\Real Desktop
2011-02-15 06:52 . 2011-02-20 18:56	--------	d-----w-	c:\users\Klaus\AppData\Local\{41F20678-43FD-4E2A-ABCD-8619DE075E24}
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-03 05:45 . 2011-02-09 05:17	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-02-02 16:11 . 2009-10-05 16:03	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-01-07 07:27 . 2011-02-09 05:18	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-01-07 05:33 . 2011-02-09 05:18	294400	----a-w-	c:\windows\system32\atmfd.dll
2011-01-05 18:20 . 2011-01-05 18:20	24704	----a-w-	c:\windows\system32\drivers\NinjaUSB.sys
2011-01-05 05:37 . 2011-02-09 05:18	428032	----a-w-	c:\windows\system32\vbscript.dll
2011-01-05 03:37 . 2011-02-09 05:18	2329088	----a-w-	c:\windows\system32\win32k.sys
2010-12-21 05:38 . 2011-02-09 05:17	73728	----a-w-	c:\windows\system32\wscsvc.dll
2010-12-21 05:38 . 2011-02-09 05:17	51200	----a-w-	c:\windows\system32\wscapi.dll
2010-12-21 05:38 . 2011-02-09 05:17	981504	----a-w-	c:\windows\system32\wininet.dll
2010-12-21 05:38 . 2011-02-09 05:17	350720	----a-w-	c:\windows\system32\winhttp.dll
2010-12-21 05:38 . 2011-02-09 05:17	204800	----a-w-	c:\windows\system32\WebClnt.dll
2010-12-21 05:38 . 2011-02-09 05:17	204288	----a-w-	c:\windows\system32\upnp.dll
2010-12-21 05:38 . 2011-02-09 05:17	14336	----a-w-	c:\windows\system32\slwga.dll
2010-12-21 05:36 . 2011-02-09 05:17	1389568	----a-w-	c:\windows\system32\msxml6.dll
2010-12-21 05:36 . 2011-02-09 05:17	1236992	----a-w-	c:\windows\system32\msxml3.dll
2010-12-21 05:34 . 2011-02-09 05:17	80384	----a-w-	c:\windows\system32\davclnt.dll
2010-12-20 17:11 . 2009-11-27 21:28	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-18 05:29 . 2011-02-09 05:18	44544	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-18 05:29 . 2011-02-09 05:18	541184	----a-w-	c:\windows\system32\kerberos.dll
2010-12-18 04:20 . 2011-02-09 05:18	386048	----a-w-	c:\windows\system32\html.iec
2010-12-18 03:47 . 2011-02-09 05:18	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2006-05-03 10:06	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 11:47	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 13:30	216064	--sh--r-	c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\Klaus\AppData\Local\{058FD79A-4E31-4556-B11C-1770578011ED} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{0C6A7A67-B3BC-4A54-B078-8580D891FDD5} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{17511119-304C-44A7-9AF1-CCAD6377E884} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{41F20678-43FD-4E2A-ABCD-8619DE075E24} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{53097284-437E-43A6-B516-85CBAB082539} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{58D6593F-BD75-46CA-A33D-0D38EC094C3D} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{6342A243-79BA-4BF1-B6E4-AE3969175F82} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{6BA416FF-C7E6-4A1F-B4AF-40F6218F8688} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{6E12CA3E-0502-4C80-926F-B43099BA7C76} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{7ACCF5B0-BA30-4F31-8DA2-AD2F196C1551} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{94784A36-BC4B-48AD-AA01-62D01A657C93} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{97F27326-E686-4784-80FF-840F8176DA43} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{AF27BD56-ED36-452C-905D-7975D1A9D7F4} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{B009FB84-B065-4BEA-A3F0-2DCDABC25630} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{B03665E3-161A-405D-90C5-8B281A49C21E} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{BB41F31D-4233-47ED-BB6A-F3F070734A87} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\{ED399696-3667-46C7-984C-984DEC21AE91} ----
.
.
---- Directory of c:\users\Klaus\AppData\Local\temp ----
.
2011-03-16 06:28 . 2011-03-16 06:28	53248	----a-w-	c:\users\Klaus\AppData\Local\temp\catchme.dll
2011-03-15 19:05 . 2010-11-05 18:31	2844552	----a-w-	c:\users\Klaus\AppData\Local\temp\setup.exe
2011-03-15 18:08 . 2011-03-15 18:08	0	----a-w-	c:\users\Klaus\AppData\Local\temp\FXSAPIDebugLogFile.txt
.
---- Directory of c:\users\Nicolas\AppData\Local\{12D8A935-2ABA-4043-8DA6-4003C20B9A1D} ----
.
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-03-15_18.06.37   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-24 15:18 . 2011-03-16 06:14	58116              c:\windows\System32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 04:55 . 2011-03-16 06:14	46140              c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2009-07-14 04:55 . 2011-03-15 17:32	46140              c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-11-27 18:58 . 2011-03-16 06:04	32768              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-27 18:58 . 2011-03-15 17:22	32768              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-27 18:58 . 2011-03-16 06:04	49152              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-27 18:58 . 2011-03-15 17:22	49152              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:41 . 2011-03-16 06:04	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:41 . 2011-03-15 17:22	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-27 19:14 . 2011-03-15 18:03	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-27 19:14 . 2011-03-15 19:05	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-27 19:14 . 2011-03-15 19:05	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-27 19:14 . 2011-03-15 18:03	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-03-15 17:22 . 2011-03-15 17:22	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-03-16 06:04 . 2011-03-16 06:04	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-03-15 17:22 . 2011-03-15 17:22	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-03-16 06:04 . 2011-03-16 06:04	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-09-24 14:30 . 2011-03-15 17:22	360448              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-09-24 14:30 . 2011-03-16 06:04	360448              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 04:47 . 2011-03-14 18:57	365028              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 04:47 . 2011-03-15 19:57	365028              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 02:03 . 2011-03-16 06:29	7077888              c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
- 2009-07-14 02:03 . 2011-03-15 17:47	7077888              c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Logitech Vid"="c:\program files\Logitech\Vid HD\Vid.exe" [2011-01-13 6129496]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-03-29 1654584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2010-09-22 884584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HD Writer.lnk]
backup=c:\windows\pss\HD Writer.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-07-02 18:12	102400	----a-w-	c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2009-06-03 19:59	103720	------w-	c:\program files\CyberLink\Power2Go\CLMLSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-03-05 15:32	1135912	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-01-05 08:18	133432	----a-w-	c:\program files\ICQ7.2\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-06-15 14:33	141624	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-11-10 01:54	4240760	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
2011-01-28 16:36	526336	----a-w-	c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd]
2005-10-11 19:54	339968	----a-w-	c:\windows\vsnpstd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2009 Browser Monitor]
2010-06-22 13:11	49664	----a-w-	c:\program files\Steganos Privacy Suite 11\SteganosBrowserMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2009 File Redirection Starter]
2010-06-22 13:07	17408	----a-w-	c:\program files\Steganos Privacy Suite 11\fredirstarter.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2009 HotKeys]
2010-06-22 13:11	80896	----a-w-	c:\program files\Steganos Privacy Suite 11\SteganosHotKeyService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-03-16 18:52	202256	----a-w-	c:\program files\Common Files\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
2008-08-07 15:18	90112	----a-w-	c:\progra~1\MAGIX\VIDEO_~1\Trayserver.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2006-02-10 659456]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-03-08 1405384]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2011-03-04 15232]
R3 NinjaUSB;Freecom Turbo HDD USB 2.0;c:\windows\system32\drivers\NinjaUSB.sys [2011-01-05 24704]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
R4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R4 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S0 DiskSec;Magix Volume Filter Driver; [x]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2011-03-04 64512]
S1 SLEE_17_DRIVER;Steganos Live Encryption Engine 17 [Driver];c:\windows\system32\drivers\Sleen17.sys [2010-02-17 14:00 94560]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2010-07-11 110304]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-03 135336]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-08-21 66592]
S3 NxpCap;CTX capture service;c:\windows\system32\DRIVERS\NxpCap.sys [2009-07-30 1488096]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2009-09-22 579072]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2009-05-13 13720]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Download with &Shareaza - c:\program files\Shareaza\RazaWebHook32.dll/3000
IE: Free YouTube Download - c:\users\Klaus\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Klaus\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MIF5BA~1\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
FF - ProfilePath - c:\users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\ldlr1yhb.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.de/|GMX - E-Mail, FreeMail, De-Mail, Themen- & Shopping-Portal - kostenlos
FF - prefs.js: keyword.URL - hxxp://start.facemoods.com/results.php?f=5&a=desktop&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programdata\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Steganos Private Favorites: {09F060FA-566D-42D7-BF79-97AB30863433} - c:\program files\Steganos Privacy Suite 11\pfplugin
FF - Ext: Steganos Password Manager: {00F0643E-B367-4779-B45D-7046EBA37A88} - c:\program files\Steganos Privacy Suite 11\spmplugin3
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: Nero Toolbar: toolbar@ask.com - %profile%\extensions\toolbar@ask.com
FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-876373040-3499387272-2508416340-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-876373040-3499387272-2508416340-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-16  07:44:16
ComboFix-quarantined-files.txt  2011-03-16 06:44
ComboFix2.txt  2011-03-15 18:08
.
Vor Suchlauf: 14 Verzeichnis(se), 199.424.831.488 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 199.356.706.816 Bytes frei
.
- - End Of File - - 81AABA0276BED5E73E924888D3998955
         

--- --- ---

Viele Grüße,

Knuffi