Trojaner-Board - Vermutete SpyEyeoder Zeus Infektion...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Vermutete SpyEyeoder Zeus Infektion... (https://www.trojaner-board.de/122675-vermutete-spyeyeoder-zeus-infektion.html)

Vermutete SpyEyeoder Zeus Infektion...

Win XP Pro 32 bit
Servicepack 3
Firefox 14.0.1

Symptome:

Seit einigen Tagen erscheint beim Einloggen im Onlinebanking eine halbtransparentes Overlay über der eigentlichen HTML Onlinebanking Loginmaske.

Die Login Seite ist ziemlich sicher die originale (Zertifikat, HTTPS alles sieht sauber aus.)
Das Overlay verzögerte den Login um wenige Sekunden und behauptete einen Security Check der Verbindung vorzunehmen. (Bis dato hatte ich mir noch nix gedacht, da das Overlay den Look&Feel komplett beibehielt und meine Bank tatsächlich gelegentlich proaktiv bei Sicherheitsthemen ist.)

Als das Drecks Teil heute allerdings versuchte mich zur Eingabe einer TAN Nummer zu überreden war ich mir sicher dass was nicht stimmt. Die IT Abteilung der Bank (wie gesagt die sind gut und man kann die als Kunde ERREICHEN!) bestätigte dass es keinerlei Overlay gäbe und ich mir scheinbar SpyEye oder Zeus eigenfangen hätte.

Meine Scan Logs hab ich attached... Durchgefüht gemäß dem Neulings Posting.
Zuzüglich ein Malwarebytes Log welches allerdings sagt "Spyware.Zbot" gefunden, daher bin ich mir da nicht so sicher.

Also dass die Kiste verseucht ist steht so ziemlich fest.
Allerdings würde ich ein 'Cleaning' einer Neuinstallation vorziehen, ist nicht meiner und ein ganzer Teil der Hardware hat sehr bescheuerte proprietäre Treiber die ich sonst alle wieder auftreiben muss.
Daher wende ich mich an euch mit der Bitte (wenn möglich) den Virus zu identifizieren und mir zu sagen ob es überhaupt noch HOffnung für den Patienten gibt ;-)

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

DRV - (WDICA) -- File not found 

DRV - (PDRFRAME) -- File not found 

DRV - (PDRELI) -- File not found 

DRV - (PDFRAME) -- File not found 

DRV - (PDCOMP) -- File not found 

DRV - (PCIDump) -- File not found 

DRV - (lbrtfdc) -- File not found 

DRV - (i2omgmt) -- File not found 

DRV - (Changer) -- File not found 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2431245 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz= 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2431245 

IE - HKU\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

FF - prefs.js..browser.search.defaultenginename: "Google" 

FF - prefs.js..browser.search.defaultthis.engineName: "softonic-de3 Customized Web Search" 

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}" 

FF - prefs.js..browser.search.useDBForOrder: true 

FF - prefs.js..browser.startup.homepage: "www.google.de" 

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 

FF - prefs.js..extensions.enabledItems: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}:0.16 

FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.736 

FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906 

FF - prefs.js..extensions.enabledItems: {bee6eb20-01e0-ebd1-da83-080329fb9a3a}:0.1 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 

O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) 

O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) 

O3 - HKU\S-1-5-21-776561741-1035525444-725345543-1003\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) 

O4 - HKLM..\Run: [] File not found 

O4 - HKU\S-1-5-21-776561741-1035525444-725345543-1003..\Run: [{6A56C644-8405-AD7D-E7F5-EED9C51FCDCB}] C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe () 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-776561741-1035525444-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 

O20 - Winlogon\Notify\ATFUS: DllName - (C:\WINDOWS\system32\FpWinLogonNp.dll) - C:\WINDOWS\system32\FpWinlogonNp.dll (AuthenTec,Inc) 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2008.12.23 21:29:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

O33 - MountPoints2\{2029cc86-15b3-11df-a126-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{2029cc86-15b3-11df-a126-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{2029cc86-15b3-11df-a126-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{2029cc89-15b3-11df-a126-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{2029cc89-15b3-11df-a126-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{2029cc89-15b3-11df-a126-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{38ec4030-8a09-11df-a268-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{38ec4030-8a09-11df-a268-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{38ec4030-8a09-11df-a268-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{751d063a-8b57-11df-a26a-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{751d063a-8b57-11df-a26a-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{751d063a-8b57-11df-a26a-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\Shell - "" = AutoRun 

O33 - MountPoints2\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.08.23 11:50:09 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Nadin\Desktop\j41do9qw.exe 

[2012.08.07 16:03:51 | 000,726,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Nadin\Desktop\jd-gui.exe 

[2010.10.19 21:28:08 | 000,000,927 | ---- | M] () -- C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Mozilla\Firefox\Profiles\kpg2gled.default\searchplugins\conduit.xml 

[2010.05.14 17:29:34 | 000,002,064 | ---- | M] () -- C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Mozilla\Firefox\Profiles\kpg2gled.default\searchplugins\youtube-videosuche.xml 
 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t'john,

ich bin überrascht! Ne 03:00 Reply ? Ist dasDein Ernst? Schlaft Ihr nicht ???? ;-)
Ich hatte ja mit etwas Wartezeit gerechnet schließlich ist das alles hier ja 'voluntarily'.

Schonmal Daaaaanke für den Einsatz !

Skript ist grad gelaufen, hier das Ergebnis (08242012_102956.log):

Code:

All processes killed

========== OTL ==========

Service WDICA stopped successfully!

Service WDICA deleted successfully!

File  File not found not found.

Service PDRFRAME stopped successfully!

Service PDRFRAME deleted successfully!

File  File not found not found.

Service PDRELI stopped successfully!

Service PDRELI deleted successfully!

File  File not found not found.

Service PDFRAME stopped successfully!

Service PDFRAME deleted successfully!

File  File not found not found.

Service PDCOMP stopped successfully!

Service PDCOMP deleted successfully!

File  File not found not found.

Service PCIDump stopped successfully!

Service PCIDump deleted successfully!

File  File not found not found.

Service lbrtfdc stopped successfully!

Service lbrtfdc deleted successfully!

File  File not found not found.

Service i2omgmt stopped successfully!

Service i2omgmt deleted successfully!

File  File not found not found.

Service Changer stopped successfully!

Service Changer deleted successfully!

File  File not found not found.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-21-776561741-1035525444-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Registry value HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully.

C:\Programme\softonic-de3\prxtbsof2.dll moved successfully.

HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

Registry key HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

HKU\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

Prefs.js: "Google" removed from browser.search.defaultenginename

Prefs.js: "softonic-de3 Customized Web Search" removed from browser.search.defaultthis.engineName

Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl

Prefs.js: true removed from browser.search.useDBForOrder

Prefs.js: "www.google.de" removed from browser.startup.homepage

Prefs.js: jqs@sun.com:1.0 removed from extensions.enabledItems

Prefs.js: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}:0.16 removed from extensions.enabledItems

Prefs.js: bkmrksync@nokia.com:1.0.0.736 removed from extensions.enabledItems

Prefs.js: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906 removed from extensions.enabledItems

Prefs.js: {bee6eb20-01e0-ebd1-da83-080329fb9a3a}:0.1 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ not found.

File C:\Programme\softonic-de3\prxtbsof2.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ not found.

File de3\prxtbsof2.dll not found.

Registry value HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}\ not found.

File de3\prxtbsof2.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\{6A56C644-8405-AD7D-E7F5-EED9C51FCDCB} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A56C644-8405-AD7D-E7F5-EED9C51FCDCB}\ not found.

C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.

Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-21-776561741-1035525444-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.

Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ATFUS\ deleted successfully.

C:\WINDOWS\system32\FpWinlogonNp.dll moved successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2029cc86-15b3-11df-a126-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2029cc86-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2029cc86-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2029cc86-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2029cc86-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2029cc86-15b3-11df-a126-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2029cc89-15b3-11df-a126-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2029cc89-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2029cc89-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2029cc89-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2029cc89-15b3-11df-a126-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2029cc89-15b3-11df-a126-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38ec4030-8a09-11df-a268-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38ec4030-8a09-11df-a268-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38ec4030-8a09-11df-a268-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38ec4030-8a09-11df-a268-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38ec4030-8a09-11df-a268-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38ec4030-8a09-11df-a268-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d17dac6-1d8b-11df-a133-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d17dac7-1d8b-11df-a133-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{751d063a-8b57-11df-a26a-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{751d063a-8b57-11df-a26a-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{751d063a-8b57-11df-a26a-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{751d063a-8b57-11df-a26a-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{751d063a-8b57-11df-a26a-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{751d063a-8b57-11df-a26a-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd8921e4-1fe7-11df-a136-001dd9ede8a6}\ not found.

File E:\AutoRun.exe not found.

C:\WINDOWS\System32\CONFIG.TMP deleted successfully.

C:\WINDOWS\System32\SET54.tmp deleted successfully.

C:\WINDOWS\System32\SET58.tmp deleted successfully.

C:\WINDOWS\System32\SET60.tmp deleted successfully.

C:\Dokumente und Einstellungen\Nadin\Desktop\j41do9qw.exe moved successfully.

C:\Dokumente und Einstellungen\Nadin\Desktop\jd-gui.exe moved successfully.

C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Mozilla\Firefox\Profiles\kpg2gled.default\searchplugins\conduit.xml moved successfully.

C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Mozilla\Firefox\Profiles\kpg2gled.default\searchplugins\youtube-videosuche.xml moved successfully.

========== FILES ==========
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\Nadin\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Nadin\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: backup_philips

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56507 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Nadin

->Temp folder emptied: 227374276 bytes

->Temporary Internet Files folder emptied: 78496634 bytes

->Java cache emptied: 13437385 bytes

->FireFox cache emptied: 714993591 bytes

->Google Chrome cache emptied: 6360859 bytes

->Flash cache emptied: 351834 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 131834236 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2167231 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 91252327 bytes

RecycleBin emptied: 148821050 bytes

 

Total Files Cleaned = 1.350,00 mb

 

 

OTL by OldTimer - Version 3.2.58.1 log created on 08242012_102956
 

Files\Folders moved on Reboot...

File\Folder C:\WINDOWS\temp\logishrd\LVPrcInj04.dll not found!
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Ich hab mir erlaubt mal nach demOTL Reboot Antivir und Malwarebytes laufenzu lassen (Habe aber nichts in Quarantäne verschoben oder fixen lassen).

BEIDE weisen mich noch auf vorhandene Infektionen hin!
Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.23.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Nadin :: NADIN-NOTEBOOK [Administrator]
 

24.08.2012 13:23:07

mbam-log-2012-08-24 (13-36-49).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 187283

Laufzeit: 9 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{6A56C644-8405-AD7D-E7F5-EED9C51FCDCB} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe" -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Antivir:

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Freitag, 24. August 2012  10:42
 

Es wird nach 4159952 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : NADIN-NOTEBOOK
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38

LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31

AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24

AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37

VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37

VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37

VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37

VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37

VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37

VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37

VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37

VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37

VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 18:16:07

VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 18:16:09

VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 18:16:09

VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 18:16:10

VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 18:16:10

VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 18:16:11

VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 18:16:11

VBASE021.VDF   : 7.11.39.207   165888 Bytes  14.08.2012 18:16:11

VBASE022.VDF   : 7.11.40.9     156160 Bytes  16.08.2012 18:16:12

VBASE023.VDF   : 7.11.40.49    133120 Bytes  17.08.2012 18:16:12

VBASE024.VDF   : 7.11.40.95    156160 Bytes  20.08.2012 18:16:13

VBASE025.VDF   : 7.11.40.155   181760 Bytes  22.08.2012 18:16:13

VBASE026.VDF   : 7.11.40.156     2048 Bytes  22.08.2012 18:16:13

VBASE027.VDF   : 7.11.40.157     2048 Bytes  22.08.2012 18:16:13

VBASE028.VDF   : 7.11.40.158     2048 Bytes  22.08.2012 18:16:14

VBASE029.VDF   : 7.11.40.159     2048 Bytes  22.08.2012 18:16:14

VBASE030.VDF   : 7.11.40.160     2048 Bytes  22.08.2012 18:16:14

VBASE031.VDF   : 7.11.40.200   201216 Bytes  23.08.2012 18:16:14

Engineversion  : 8.2.10.132

AEVDF.DLL      : 8.1.2.10      102772 Bytes  23.08.2012 18:16:25

AESCRIPT.DLL   : 8.1.4.42      459129 Bytes  23.08.2012 18:16:25

AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36

AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20

AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32

AEPACK.DLL     : 8.3.0.24      811381 Bytes  23.08.2012 18:16:24

AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  23.08.2012 18:16:23

AEHEUR.DLL     : 8.1.4.86     5165429 Bytes  23.08.2012 18:16:22

AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17

AEGEN.DLL      : 8.1.5.34      434548 Bytes  23.08.2012 18:16:16

AEEXP.DLL      : 8.1.0.74       86387 Bytes  23.08.2012 18:16:25

AEEMU.DLL      : 8.1.3.2       393587 Bytes  23.08.2012 18:16:16

AECORE.DLL     : 8.1.27.4      201078 Bytes  23.08.2012 18:16:15

AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25

AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23

AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23

AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24

NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Freitag, 24. August 2012  10:42
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '89' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclBCBTSrv.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclRSSrv.exe' - '15' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclUSBSrv.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'ServiceLayer.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'WPFFontCache_v0400.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTSTAC~1.EXE' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'ONENOTEM.EXE' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTTray.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '108' Modul(e) wurden durchsucht

Durchsuche Prozess 'KiesPDLR.exe' - '55' Modul(e) wurden durchsucht

Durchsuche Prozess 'msmsgs.exe' - '44' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'COCIManager.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'htcUPCTLoader.exe' - '102' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'KiesTrayAgent.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'AdobeARM.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'scheduler_proxy.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'fpassist.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'Quickcam.exe' - '55' Modul(e) wurden durchsucht

Durchsuche Prozess 'Communications_Helper.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMProcess.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMConfig.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'StartAutorun.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'notepad.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'CNAB4RPK.EXE' - '15' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUService.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvtsched.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'rpcnet.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'RegSrvc.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'PassThruSvr.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '46' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVPrcSrv.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht

Durchsuche Prozess 'FpLogonServ.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '11' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'S24EvMon.exe' - '66' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '106' Modul(e) wurden durchsucht

Durchsuche Prozess 'EvtEng.exe' - '69' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'btwdins.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '171' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '2202' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\Nadin\Desktop\avira_free_antivirus_de.exe

  [WARNUNG]   Die Datei ist kennwortgeschützt

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_000072

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_0000b8

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_000496

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_000586

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Programme\WinRAR\rarnew.dat

  [WARNUNG]   Das Archiv ist unbekannt oder defekt

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP681\A0065332.exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

C:\_OTL\MovedFiles\08242012_102956\C_Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
 

Beginne mit der Desinfektion:

C:\_OTL\MovedFiles\08242012_102956\C_Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP681\A0065332.exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

  [WARNUNG]   Die Datei wurde ignoriert.
 
 

Ende des Suchlaufs: Freitag, 24. August 2012  13:22

Benötigte Zeit:  2:19:05 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  11140 Verzeichnisse wurden überprüft

 1386027 Dateien wurden geprüft

      2 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 1386025 Dateien ohne Befall

   7236 Archive wurden durchsucht

      8 Warnungen

      0 Hinweise

 421429 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

AdwCleaner[S1].txt:

Code:

# AdwCleaner v1.801 - Logfile created 08/24/2012 at 16:28:53

# Updated 14/08/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)

# User : Nadin - NADIN-NOTEBOOK

# Boot Mode : Normal

# Running from : C:\Dokumente und Einstellungen\Nadin\Desktop\adwCleaner1801.exe

# Option [Delete]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Deleted : C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\PriceGong

Folder Deleted : C:\Programme\Conduit

Folder Deleted : C:\Programme\ConduitEngine

Folder Deleted : C:\Programme\softonic-de3
 

***** [Registry] *****

[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2431245

Key Deleted : HKCU\Software\Conduit

Key Deleted : HKCU\Software\PriceGong

Key Deleted : HKCU\Software\Softonic

Key Deleted : HKCU\Software\softonic-de3

Key Deleted : HKCU\Toolbar

Key Deleted : HKLM\SOFTWARE\Classes\Conduit.Engine

Key Deleted : HKLM\SOFTWARE\Conduit

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\softonic-de3 Toolbar

Key Deleted : HKLM\SOFTWARE\softonic-de3
 

***** [Registre - GUID] *****
 

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9CC2D08A-2754-4C24-8D5A-E782220D294C}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{FCA580B4-E22E-4BA2-8877-05AE350E554C}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EF99668F-3089-45C4-A40C-E1DF461F255D}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CF06ED1A-E68C-40F1-B169-56B5218B50A2}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{FCA580B4-E22E-4BA2-8877-05AE350E554C}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCA580B4-E22E-4BA2-8877-05AE350E554C}
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[S1].txt - [320 octets] - [24/08/2012 16:28:32]

AdwCleaner[S2].txt - [2278 octets] - [24/08/2012 16:28:53]
 

########## EOF - C:\AdwCleaner[S2].txt - [2406 octets] ##########

Emisoft AntiMalware:

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 24.08.2012 16:52:38
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        24.08.2012 17:09:42
 

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP681\A0065332.exe         gefunden: Trojan.Win32.Zbot!E1

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP647\A0060954.exe         gefunden: Riskware.Win32.InstallCore.AMN!E1
 

Gescannt        506625

Gefunden        2
 

Scan Ende:        24.08.2012 17:44:35

Scan Zeit:        0:34:53

Schaue bitte in der Anleitung (http://www.trojaner-board.de/103809-...i-malware.html) nach, wo du die Logfiles finden kannst.
Poste das Logfile bitte.

Hi t'john...

Ich hab nicht mehr als im vorigen Posting?!
Auch unter dem Pfad
C:\Dokumente und Einstellungen\Nadin\Eigene Dateien\Anti-Malware\Reports
liegt nur dieser kurze Report.

NOCHMAL:

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 24.08.2012 16:52:38
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        24.08.2012 17:09:42
 

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP681\A0065332.exe         gefunden: Trojan.Win32.Zbot!E1

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP647\A0060954.exe         gefunden: Riskware.Win32.InstallCore.AMN!E1
 

Gescannt        506625

Gefunden        2
 

Scan Ende:        24.08.2012 17:44:35

Scan Zeit:        0:34:53

Ich hab nicht löschen oder in Quarantäne legen lassen,war das mein Fehler??

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Eset ist durch, hier das Log (ich deinstalliere und lösche jetzt Eset) :

Wann kann/soll ich den Defogger wieder abschalten?!

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=95b81fde0e271e46b523d13ddf1ac8f0

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-08-24 08:54:31

# local_time=2012-08-24 10:54:31 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1792 16777191 100 0 88639 88639 0 0

# compatibility_mode=8192 67108863 100 0 216 216 0 0

# scanned=113213

# found=4

# cleaned=4

# scan_time=7345

C:\Dokumente und Einstellungen\Nadin\Eigene Dateien\runter geladenes\SoftonicDownloader_fuer_freepdf.exe        a variant of Win32/SoftonicDownloader.A application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\_OTL\MovedFiles\08242012_102956\C_Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe        Win32/Spy.Zbot.AAN trojan (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\_OTL\MovedFiles\08242012_102956\C_Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.vir        Win32/Spy.Zbot.AAN trojan (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\_OTL\MovedFiles\08242012_102956\C_Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.zip        Win32/Spy.Zbot.AAN trojan (deleted - quarantined)        00000000000000000000000000000000        C

Ich kotze ;-) Malwarebytes sagt immer noch die Registry sei 'verdreckt' :

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.24.02
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Nadin :: NADIN-NOTEBOOK [Administrator]
 

24.08.2012 23:23:56

mbam-log-2012-08-24 (23-29-34).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 186818

Laufzeit: 5 Minute(n), 21 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{6A56C644-8405-AD7D-E7F5-EED9C51FCDCB} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe" -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hi,

einTag Pause gemacht,heut geht's weiter, Combofixist durch:

CF - Log:

Code:

ComboFix 12-08-25.04 - Nadin 26.08.2012  14:50:04.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.453 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Nadin\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\backup_philips\findproc.dll

c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe

c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Start

c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Start\temp_20E5ACDA\flash.10.0.45.2.ocx

C:\install.exe

c:\windows\system32\System32\MASetupCleaner.exe

c:\windows\system32\System32\muzapp.exe

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_NPF

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-07-26 bis 2012-08-26  ))))))))))))))))))))))))))))))

.

.

2012-08-26 13:01 . 2012-08-26 13:01        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2012-08-24 14:48 . 2012-08-26 13:00        --------        d-----w-        c:\programme\Emsisoft Anti-Malware

2012-08-24 08:43 . 2012-08-24 11:02        --------        d-----w-        c:\windows\system32\NtmsData

2012-08-24 08:29 . 2012-08-24 08:29        --------        d-----w-        C:\_OTL

2012-08-23 18:20 . 2012-08-23 18:20        --------        d-----w-        c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Avira

2012-08-23 18:14 . 2012-07-18 16:04        83392        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-08-23 18:14 . 2012-07-18 16:04        36000        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2012-08-23 18:14 . 2012-07-18 16:04        137928        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-08-23 18:14 . 2012-08-23 18:14        --------        d-----w-        c:\programme\Avira

2012-08-23 18:14 . 2012-08-23 18:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2012-08-23 08:36 . 2012-08-23 08:36        --------        d-----w-        c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Malwarebytes

2012-08-23 08:36 . 2012-08-23 08:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-08-23 08:36 . 2012-08-23 08:36        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-08-23 08:36 . 2012-07-03 11:46        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-08-22 06:38 . 2012-08-22 06:38        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\softonic-de3

2012-08-22 06:38 . 2012-08-22 06:38        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Apple

2012-08-16 08:30 . 2012-08-16 08:30        9826504        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

2012-08-07 13:56 . 2012-07-18 20:03        --------        d-----w-        c:\programme\dex2jar-0.0.9.9

2012-08-07 13:35 . 2012-08-07 13:35        --------        d-sh--w-        c:\dokumente und einstellungen\Nadin\PrivacIE

2012-08-02 20:46 . 2012-08-24 14:33        --------        d-----w-        c:\dokumente und einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Htc

2012-08-02 20:46 . 2012-08-02 20:46        --------        d-----w-        c:\dokumente und einstellungen\Nadin\Anwendungsdaten\HTC

2012-08-02 20:44 . 2010-12-21 05:55        1112288        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll

2012-08-02 20:44 . 2009-06-10 13:49        24576        ----a-w-        c:\windows\system32\drivers\ANDROIDUSB.sys

2012-08-02 20:44 . 2012-08-02 20:44        --------        d-----w-        c:\programme\Spirent Communications

2012-08-02 20:44 . 2012-08-02 20:45        --------        d-----w-        c:\programme\HTC

2012-08-02 20:44 . 2012-08-02 20:44        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe AIR

2012-07-30 21:52 . 2012-07-30 21:52        103904        ----a-w-        c:\programme\Mozilla Firefox\plugins\nppdf32.dll

2012-07-30 21:52 . 2012-07-30 21:52        103904        ----a-w-        c:\programme\Internet Explorer\PLUGINS\nppdf32.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-26 13:00 . 2012-07-17 20:16        17408        ----a-w-        c:\windows\system32\rpcnetp.exe

2012-08-26 13:00 . 2012-07-17 20:20        58288        ----a-w-        c:\windows\system32\rpcnet.dll

2012-08-16 08:30 . 2012-04-04 17:18        426184        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-08-16 08:30 . 2011-06-20 21:10        70344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-07-17 20:20 . 2012-07-17 20:20        58288        ------w-        c:\windows\system32\rpcnet.exe

2012-07-17 20:17 . 2012-07-17 20:17        17408        ----a-w-        c:\windows\system32\rpcnetp.dll

2012-07-06 13:59 . 2004-08-04 10:00        78336        ----a-w-        c:\windows\system32\browser.dll

2012-07-04 14:05 . 2008-12-23 19:25        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-07-03 18:25 . 2004-08-04 10:00        1866240        ----a-w-        c:\windows\system32\win32k.sys

2012-07-02 17:39 . 2006-03-04 03:34        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-07-02 17:39 . 2004-08-04 10:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-07-02 17:39 . 2004-08-04 10:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-07-02 12:05 . 2004-08-04 10:00        385024        ------w-        c:\windows\system32\html.iec

2012-06-25 14:04 . 2012-06-25 14:04        1394248        ----a-w-        c:\windows\system32\msxml4.dll

2012-06-05 15:49 . 2008-04-14 02:22        1372672        ------w-        c:\windows\system32\msxml6.dll

2012-06-05 15:49 . 2004-08-04 10:00        1172480        ----a-w-        c:\windows\system32\msxml3.dll

2012-06-04 04:32 . 2004-08-04 10:00        152576        ----a-w-        c:\windows\system32\schannel.dll

2012-06-02 13:19 . 2008-12-23 19:26        329240        ----a-w-        c:\windows\system32\wucltui.dll

2012-06-02 13:19 . 2008-12-23 19:26        210968        ----a-w-        c:\windows\system32\wuweb.dll

2012-06-02 13:19 . 2008-12-23 19:26        219160        ----a-w-        c:\windows\system32\wuaucpl.cpl

2012-06-02 13:19 . 2008-10-16 13:08        15896        ----a-w-        c:\windows\system32\wuapi.dll.mui

2012-06-02 13:19 . 2008-10-16 13:07        18456        ----a-w-        c:\windows\system32\wuaueng.dll.mui

2012-06-02 13:19 . 2008-12-23 19:26        53784        ----a-w-        c:\windows\system32\wuauclt.exe

2012-06-02 13:19 . 2008-12-23 19:26        35864        ----a-w-        c:\windows\system32\wups.dll

2012-06-02 13:19 . 2008-10-16 13:09        45080        ----a-w-        c:\windows\system32\wups2.dll

2012-06-02 13:19 . 2008-10-16 13:08        15896        ----a-w-        c:\windows\system32\wuaucpl.cpl.mui

2012-06-02 13:19 . 2004-08-04 10:00        97304        ----a-w-        c:\windows\system32\cdm.dll

2012-06-02 13:19 . 2008-10-16 13:08        23576        ----a-w-        c:\windows\system32\wucltui.dll.mui

2012-06-02 13:19 . 2008-12-23 19:26        577048        ----a-w-        c:\windows\system32\wuapi.dll

2012-06-02 13:19 . 2008-12-23 19:26        1933848        ----a-w-        c:\windows\system32\wuaueng.dll

2012-05-31 13:22 . 2004-08-04 10:00        604160        ----a-w-        c:\windows\system32\crypt32.dll

2012-07-18 20:35 . 2011-04-01 20:43        136672        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="c:\spiele\Steam.exe" [2012-08-19 1353080]

"KiesHelper"="c:\programme\Samsung\Kies\KiesHelper.exe" [2012-05-04 955792]

"KiesPDLR"="c:\programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-05-04 21392]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-02-29 17148552]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FingerPrintSoftware"="c:\programme\Lenovo Fingerprint Software\fpapp.exe \s" [X]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-21 7585792]

"nwiz"="nwiz.exe" [2007-03-21 1622016]

"KMConfig"="c:\programme\Multimedia Mouse Driver\V5\StartAutorun.exe" [2007-03-06 212992]

"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 53248]

"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]

"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2011-07-05 421888]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]

"KiesTrayAgent"="c:\programme\Samsung\Kies\KiesTrayAgent.exe" [2012-05-04 3521424]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]

"Aimersoft Helper Compact.exe"="c:\programme\Common Files\Aimersoft\Aimersoft Helper Compact\ASHelper.exe" [2012-02-20 1666560]

"HTC Sync Loader"="c:\programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2012-04-17 651264]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-07-18 348664]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Nadin\Startmenü\Programme\Autostart\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

BTTray.lnk - c:\programme\Lenovo\Bluetooth Software\BTTray.exe [2006-11-13 561213]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Spiele\\steamapps\\nadin_colgne\\team fortress 2\\hl2.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=

"c:\\WINDOWS\\system32\\muzapp.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"14431:UDP"= 14431:UDP:UDP 14431

"20628:TCP"= 20628:TCP:TCP 20628

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [23.08.2012 20:14 36000]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.08.2012 20:14 86224]

R2 FingerprintServer;Fingerprint Server;c:\windows\system32\FpLogonServ.exe [19.01.2007 16:16 61440]

R2 PassThru Service;Internet Pass-Through Service;c:\programme\HTC\Internet Pass-Through\PassThruSvr.exe [23.03.2012 14:25 87040]

S2 gupdate1c990d88210e210;Google Update Service (gupdate1c990d88210e210);c:\programme\Google\Update\GoogleUpdate.exe [17.02.2009 10:19 133104]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04.04.2012 19:18 250056]

S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys [31.05.2012 09:19 80824]

S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [07.02.2012 22:52 20032]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [17.02.2009 10:19 133104]

S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [02.08.2012 22:44 24576]

S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 18:01 21248]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [25.04.2012 08:05 113120]

S3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\drivers\ssudmdm.sys [31.05.2012 09:19 181432]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-08-26 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 08:30]

.

2012-08-22 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2012-08-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-17 08:19]

.

2012-08-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-17 08:19]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Senden an &Bluetooth-Gerät... - c:\programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Mozilla\Firefox\Profiles\kpg2gled.default\

FF - prefs.js: browser.search.defaulturl - 

FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-{6A56C644-8405-AD7D-E7F5-EED9C51FCDCB} - c:\dokumente und einstellungen\Nadin\Anwendungsdaten\Latau\edaq.exe

AddRemove-dm Fotowelt - c:\programme\dm\dm Fotowelt\uninstall.exe

AddRemove-01_Simmental - c:\programme\Samsung\USB Drivers\01_Simmental\Uninstall.exe

AddRemove-02_Siberian - c:\programme\Samsung\USB Drivers\02_Siberian\Uninstall.exe

AddRemove-03_Swallowtail - c:\programme\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe

AddRemove-04_semseyite - c:\programme\Samsung\USB Drivers\04_semseyite\Uninstall.exe

AddRemove-05_Sloan - c:\programme\Samsung\USB Drivers\05_Sloan\Uninstall.exe

AddRemove-06_Spencer - c:\programme\Samsung\USB Drivers\06_Spencer\Uninstall.exe

AddRemove-07_Schorl - c:\programme\Samsung\USB Drivers\07_Schorl\Uninstall.exe

AddRemove-08_EMPChipset - c:\programme\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe

AddRemove-09_Hsp - c:\programme\Samsung\USB Drivers\09_Hsp\Uninstall.exe

AddRemove-11_HSP_Plus_Default - c:\programme\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe

AddRemove-16_Shrewsbury - c:\programme\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe

AddRemove-17_EMP_Chipset2 - c:\programme\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe

AddRemove-18_Zinia_Serial_Driver - c:\programme\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe

AddRemove-19_VIA_driver - c:\programme\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe

AddRemove-20_NXP_Driver - c:\programme\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe

AddRemove-21_Searsburg - c:\programme\Samsung\USB Drivers\21_Searsburg\Uninstall.exe

AddRemove-22_WiBro_WiMAX - c:\programme\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe

AddRemove-24_flashusbdriver - c:\programme\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe

AddRemove-25_escape - c:\programme\Samsung\USB Drivers\25_escape\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-08-26 15:01

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(9820)

c:\windows\TEMP\logishrd\LVPrcInj01.dll

c:\windows\system32\btmmhook.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Lenovo\Bluetooth Software\bin\btwdins.exe

c:\programme\Intel\Wireless\Bin\EvtEng.exe

c:\programme\Intel\Wireless\Bin\S24EvMon.exe

c:\windows\system32\agrsmsvc.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\nvsvc32.exe

c:\programme\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\system32\rpcnet.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\Lenovo\System Update\SUService.exe

c:\windows\system32\CNAB4RPK.EXE

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\windows\RTHDCPL.EXE

c:\programme\Multimedia Mouse Driver\V5\KMConfig.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

c:\programme\Multimedia Mouse Driver\V5\KMProcess.exe

c:\windows\system32\wscntfy.exe

c:\progra~1\Lenovo\BLUETO~1\BTSTAC~1.EXE

c:\programme\avira\antivir desktop\ipmGui.exe

c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe

c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

c:\programme\PC Connectivity Solution\ServiceLayer.exe

c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\programme\PC Connectivity Solution\Transports\NclBCBTSrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-08-26  15:08:00 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-08-26 13:07

.

Vor Suchlauf: 13 Verzeichnis(se), 41.359.450.112 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 41.387.507.712 Bytes frei

.

- - End Of File - - F7C9FED07227CD0E27B1AC18CAC53353

Bin irritiert, Malwarebytes sagt jetzt das System sei sauber.

Antivir flippt seit dem Neustart durch Combofix aus und sagt, so gut wie jede wichtige Program EXE sei mit Trash.Gen infiziert ...

Poste bitte die Logs von Avira

Gerne....

AVIRA:

Code:

Avira Free Antivirus

Erstellungsdatum der Reportdatei: Sonntag, 26. August 2012  18:20
 

Es wird nach 4159952 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : NADIN-NOTEBOOK
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38

LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31

AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24

AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37

VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37

VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37

VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37

VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37

VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37

VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37

VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37

VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37

VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 18:16:07

VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 18:16:09

VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 18:16:09

VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 18:16:10

VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 18:16:10

VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 18:16:11

VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 18:16:11

VBASE021.VDF   : 7.11.39.207   165888 Bytes  14.08.2012 18:16:11

VBASE022.VDF   : 7.11.40.9     156160 Bytes  16.08.2012 18:16:12

VBASE023.VDF   : 7.11.40.49    133120 Bytes  17.08.2012 18:16:12

VBASE024.VDF   : 7.11.40.95    156160 Bytes  20.08.2012 18:16:13

VBASE025.VDF   : 7.11.40.155   181760 Bytes  22.08.2012 18:16:13

VBASE026.VDF   : 7.11.40.156     2048 Bytes  22.08.2012 18:16:13

VBASE027.VDF   : 7.11.40.157     2048 Bytes  22.08.2012 18:16:13

VBASE028.VDF   : 7.11.40.158     2048 Bytes  22.08.2012 18:16:14

VBASE029.VDF   : 7.11.40.159     2048 Bytes  22.08.2012 18:16:14

VBASE030.VDF   : 7.11.40.160     2048 Bytes  22.08.2012 18:16:14

VBASE031.VDF   : 7.11.40.200   201216 Bytes  23.08.2012 18:16:14

Engineversion  : 8.2.10.132

AEVDF.DLL      : 8.1.2.10      102772 Bytes  23.08.2012 18:16:25

AESCRIPT.DLL   : 8.1.4.42      459129 Bytes  23.08.2012 18:16:25

AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36

AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20

AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32

AEPACK.DLL     : 8.3.0.24      811381 Bytes  23.08.2012 18:16:24

AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  23.08.2012 18:16:23

AEHEUR.DLL     : 8.1.4.86     5165429 Bytes  23.08.2012 18:16:22

AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17

AEGEN.DLL      : 8.1.5.34      434548 Bytes  23.08.2012 18:16:16

AEEXP.DLL      : 8.1.0.74       86387 Bytes  23.08.2012 18:16:25

AEEMU.DLL      : 8.1.3.2       393587 Bytes  23.08.2012 18:16:16

AECORE.DLL     : 8.1.27.4      201078 Bytes  23.08.2012 18:16:15

AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25

AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23

AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23

AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24

NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Sonntag, 26. August 2012  18:20
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.

C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht

Durchsuche Prozess 'notepad.exe' - '28' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'NclBCBTSrv.exe' - '37' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'NclRSSrv.exe' - '15' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'NclUSBSrv.exe' - '24' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'firefox.exe' - '115' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'explorer.exe' - '97' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'ServiceLayer.exe' - '32' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'WPFFontCache_v0400.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'COCIManager.exe' - '48' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'BTSTAC~1.EXE' - '52' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'ONENOTEM.EXE' - '21' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'BTTray.exe' - '52' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '109' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'KMProcess.exe' - '38' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'LVComSer.exe' - '36' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht

Durchsuche Prozess 'htcUPCTLoader.exe' - '102' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'KiesTrayAgent.exe' - '61' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'scheduler_proxy.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMConfig.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'fpassist.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'Quickcam.exe' - '56' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll>

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

Durchsuche Prozess 'Communications_Helper.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'StartAutorun.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'CNAB4RPK.EXE' - '15' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUService.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvtsched.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'rpcnet.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'RegSrvc.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'PassThruSvr.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '46' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVPrcSrv.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht

Durchsuche Prozess 'FpLogonServ.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '11' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'S24EvMon.exe' - '66' Modul(e) wurden durchsucht

Durchsuche Prozess 'EvtEng.exe' - '69' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'btwdins.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '78' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.
 
 

Ende des Suchlaufs: Sonntag, 26. August 2012  18:47

Benötigte Zeit: 26:58 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

      0 Verzeichnisse wurden überprüft

   5236 Dateien wurden geprüft

     20 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

   5216 Dateien ohne Befall

     12 Archive wurden durchsucht

     20 Warnungen

      1 Hinweise

 439203 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ESET log:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=95b81fde0e271e46b523d13ddf1ac8f0

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-08-27 09:46:51

# local_time=2012-08-27 11:46:51 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1792 16777191 100 0 348551 348551 0 0

# compatibility_mode=8192 67108863 100 0 334 334 0 0

# scanned=118165

# found=3

# cleaned=3

# scan_time=9772

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP647\A0060954.exe        a variant of Win32/InstallCore.D application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP681\A0065332.exe        Win32/Spy.Zbot.AAN trojan (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP683\A0065915.exe        Win32/Spy.Zbot.AAN trojan (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Antivir DANACH !

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Montag, 27. August 2012  23:58
 

Es wird nach 4170486 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : NADIN-NOTEBOOK
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38

LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31

AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24

AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37

VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37

VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37

VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37

VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37

VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37

VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37

VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37

VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37

VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 18:16:07

VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 18:16:09

VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 18:16:09

VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 18:16:10

VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 18:16:10

VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 18:16:11

VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 18:16:11

VBASE021.VDF   : 7.11.39.207   165888 Bytes  14.08.2012 18:16:11

VBASE022.VDF   : 7.11.40.9     156160 Bytes  16.08.2012 18:16:12

VBASE023.VDF   : 7.11.40.49    133120 Bytes  17.08.2012 18:16:12

VBASE024.VDF   : 7.11.40.95    156160 Bytes  20.08.2012 18:16:13

VBASE025.VDF   : 7.11.40.155   181760 Bytes  22.08.2012 18:16:13

VBASE026.VDF   : 7.11.40.205   203264 Bytes  23.08.2012 09:46:12

VBASE027.VDF   : 7.11.40.206     2048 Bytes  23.08.2012 09:46:12

VBASE028.VDF   : 7.11.40.207     2048 Bytes  23.08.2012 09:46:12

VBASE029.VDF   : 7.11.40.208     2048 Bytes  23.08.2012 09:46:12

VBASE030.VDF   : 7.11.40.209     2048 Bytes  23.08.2012 09:46:12

VBASE031.VDF   : 7.11.41.14    145408 Bytes  27.08.2012 09:46:13

Engineversion  : 8.2.10.146

AEVDF.DLL      : 8.1.2.10      102772 Bytes  23.08.2012 18:16:25

AESCRIPT.DLL   : 8.1.4.46      455034 Bytes  27.08.2012 09:46:26

AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36

AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20

AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32

AEPACK.DLL     : 8.3.0.32      811382 Bytes  27.08.2012 09:46:25

AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  23.08.2012 18:16:23

AEHEUR.DLL     : 8.1.4.92     5177718 Bytes  27.08.2012 09:46:23

AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17

AEGEN.DLL      : 8.1.5.36      434549 Bytes  27.08.2012 09:46:14

AEEXP.DLL      : 8.1.0.80       86389 Bytes  27.08.2012 09:46:26

AEEMU.DLL      : 8.1.3.2       393587 Bytes  23.08.2012 18:16:16

AECORE.DLL     : 8.1.27.4      201078 Bytes  23.08.2012 18:16:15

AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25

AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23

AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23

AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24

NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: AVGuardAsyncScan

Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_503a1dee\guard_slideup.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: quarantäne

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: aus

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: aus

Suche nach Rootkits...................: aus

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: vollständig
 

Beginn des Suchlaufs: Montag, 27. August 2012  23:58
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'control.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclBCBTSrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WPFFontCache_v0400.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTSTAC~1.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMProcess.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'htcUPCTLoader.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'KiesTrayAgent.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'scheduler_proxy.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMConfig.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Quickcam.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Communications_Helper.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'StartAutorun.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'CNAB4RPK.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rpcnet.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PassThruSvr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'FpLogonServ.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll'

C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
 

Beginne mit der Desinfektion:

C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll

  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich repariert.
 
 

Ende des Suchlaufs: Dienstag, 28. August 2012  00:00

Benötigte Zeit: 00:06 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

      0 Verzeichnisse wurden überprüft

     70 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

     69 Dateien ohne Befall

      0 Archive wurden durchsucht

      1 Warnungen

      1 Hinweise
 
 

Die Suchergebnisse werden an den Guard übermittelt.

Da die DLL nur für Logitech Hardware ist und außerdem in nem TEMP Ordner hab ich etwas getan was ich eigentlich nicht sollte, ich hab ohne Deine Aufforderung gehandelt und AVIRA erlaubtdie Datei zu entfernen.
Danach Papierkorb und Co gelöscht und einen Reboot gemacht.

Jetzt sagt AVIRA:

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Dienstag, 28. August 2012  00:25
 

Es wird nach 4170486 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : NADIN-NOTEBOOK
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38

LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31

AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24

AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37

VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37

VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37

VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37

VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37

VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37

VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37

VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37

VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37

VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 18:16:07

VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 18:16:09

VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 18:16:09

VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 18:16:10

VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 18:16:10

VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 18:16:11

VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 18:16:11

VBASE021.VDF   : 7.11.39.207   165888 Bytes  14.08.2012 18:16:11

VBASE022.VDF   : 7.11.40.9     156160 Bytes  16.08.2012 18:16:12

VBASE023.VDF   : 7.11.40.49    133120 Bytes  17.08.2012 18:16:12

VBASE024.VDF   : 7.11.40.95    156160 Bytes  20.08.2012 18:16:13

VBASE025.VDF   : 7.11.40.155   181760 Bytes  22.08.2012 18:16:13

VBASE026.VDF   : 7.11.40.205   203264 Bytes  23.08.2012 09:46:12

VBASE027.VDF   : 7.11.40.206     2048 Bytes  23.08.2012 09:46:12

VBASE028.VDF   : 7.11.40.207     2048 Bytes  23.08.2012 09:46:12

VBASE029.VDF   : 7.11.40.208     2048 Bytes  23.08.2012 09:46:12

VBASE030.VDF   : 7.11.40.209     2048 Bytes  23.08.2012 09:46:12

VBASE031.VDF   : 7.11.41.14    145408 Bytes  27.08.2012 09:46:13

Engineversion  : 8.2.10.146

AEVDF.DLL      : 8.1.2.10      102772 Bytes  23.08.2012 18:16:25

AESCRIPT.DLL   : 8.1.4.46      455034 Bytes  27.08.2012 09:46:26

AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36

AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20

AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32

AEPACK.DLL     : 8.3.0.32      811382 Bytes  27.08.2012 09:46:25

AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  23.08.2012 18:16:23

AEHEUR.DLL     : 8.1.4.92     5177718 Bytes  27.08.2012 09:46:23

AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17

AEGEN.DLL      : 8.1.5.36      434549 Bytes  27.08.2012 09:46:14

AEEXP.DLL      : 8.1.0.80       86389 Bytes  27.08.2012 09:46:26

AEEMU.DLL      : 8.1.3.2       393587 Bytes  23.08.2012 18:16:16

AECORE.DLL     : 8.1.27.4      201078 Bytes  23.08.2012 18:16:15

AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25

AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23

AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23

AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24

NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Dienstag, 28. August 2012  00:25
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclBCBTSrv.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclRSSrv.exe' - '15' Modul(e) wurden durchsucht

Durchsuche Prozess 'NclUSBSrv.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht

Durchsuche Prozess 'ServiceLayer.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'WPFFontCache_v0400.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTSTAC~1.EXE' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'ONENOTEM.EXE' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTTray.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'KiesPDLR.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'COCIManager.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht

Durchsuche Prozess 'htcUPCTLoader.exe' - '101' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'KiesTrayAgent.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'scheduler_proxy.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'fpassist.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'Quickcam.exe' - '55' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMProcess.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'Communications_Helper.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'KMConfig.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'StartAutorun.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'CNAB4RPK.EXE' - '15' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUService.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvtsched.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'rpcnet.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'RegSrvc.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'PassThruSvr.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '46' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVPrcSrv.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVComSer.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht

Durchsuche Prozess 'FpLogonServ.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '11' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'S24EvMon.exe' - '66' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht

Durchsuche Prozess 'EvtEng.exe' - '69' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'btwdins.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '2080' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_000072

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_0000b8

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_000496

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\Nadin\Lokale Einstellungen\Anwendungsdaten\Google\GoogleEarth\webdata\f_000586

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Programme\WinRAR\rarnew.dat

  [WARNUNG]   Das Archiv ist unbekannt oder defekt

C:\System Volume Information\_restore{A6E56879-E669-462F-B124-6B2355AA57AA}\RP683\A0065918.exe

  [WARNUNG]   Die Datei ist kennwortgeschützt
 
 

Ende des Suchlaufs: Dienstag, 28. August 2012  02:44

Benötigte Zeit:  2:18:40 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  14669 Verzeichnisse wurden überprüft

 1393833 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 1393833 Dateien ohne Befall

   8667 Archive wurden durchsucht

      6 Warnungen

      0 Hinweise

 428810 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Malewarebaytes

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.24.02
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Nadin :: NADIN-NOTEBOOK [Administrator]
 

28.08.2012 07:43:54

mbam-log-2012-08-28 (07-43-54).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 186699

Laufzeit: 7 Minute(n), 59 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)