Trojaner-Board - Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen" (https://www.trojaner-board.de/125032-brief-telekom-sicherheitswarnung-ihrem-internetzugang-tr-crypt-ulpm-gen.html)

Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"

Hallo zusammen,

wir haben heute einen Brief von der Telekom bekommen, die uns darauf hinweist, dass über unsere IP "... unerwünschte Zugriffe auf fremde Rechner erfolgt sind..."
In einer Mail an uns nannten Sie uns hierfür ein konkretes Datum und eine Uhrzeit.

Über unseren Router laufen über das WLAN 3 Rechner (1 PC und 2 Laptops) somit kann ich nicht zu 100% sagen, welcher Rechner infiziert ist.
Durch das Datum und die Uhrzeit des angeblichen Hackingangriffes lässt sich aber das ganze auf Laptop S) oder den PC eingrenzen, da diese Rechner zur besagten Zeit online war.

Ich habe gerade schon den Antivir-Scan über Laptop S) drüberlaufen lassen, welcher mir auch schon einen Fund anzeigt:
"Letztert Fund: TR/Crypt.ULPM.Gen"

Laptop S) reagiert seit einiger Zeit nur noch sehr sehr langsam - ist zwar auch eine alte Kiste, aber so überlastet war der noch nie.
Zudem habe ich festgestellt dass direkt nach dem Booten der Prozess "firefox.exe" läuft, obwohl Firefox bis dato nicht geöffnet wurde... Keine Ahnung ob das "normal" ist?

OTL Scan und Defogger habe ich auf Laptop T) und Laptop S) sowie dem PC schon durchgeführt, die protokolle von den 3 Rechnern von OTL, Defogger sowie Antivir von Laptop S findet ihr anbei.

Ich hoffe ihr könnt mir hierbei helfen?
Ich habe keine Ahnung was ich unternehmen soll?

hi
was wurde von avira gefunden, genaue meldung mit pfadangabe

Hi,
hier der Text aus dem Log:

Code:


 

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Dienstag, 2. Oktober 2012  14:47
 

Es wird nach 4286580 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : Sigrid

Computername   : OGV
 

Versionsinformationen:

BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00

AVSCAN.EXE     : 10.3.0.7      484008 Bytes  03.07.2011 07:28:00

AVSCAN.DLL     : 10.0.5.0       57192 Bytes  03.07.2011 07:28:00

LUKE.DLL       : 10.3.0.5       45416 Bytes  03.07.2011 07:28:16

LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47

AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  03.07.2011 07:28:23

AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 11:56:55

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 16:35:55

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 20:03:32

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:42:39

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 12:15:24

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:06:50

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 12:25:41

VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 12:25:42

VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 12:25:43

VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 12:25:43

VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 12:25:43

VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 12:25:44

VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 12:25:44

VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 12:25:44

VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 12:25:50

VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 12:25:55

VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 12:26:01

VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 12:26:04

VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 12:26:07

VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 12:26:10

VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 12:26:14

VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 12:26:18

VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 12:26:22

VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 16:14:37

VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 16:14:41

VBASE025.VDF   : 7.11.44.104     2048 Bytes  27.09.2012 16:14:42

VBASE026.VDF   : 7.11.44.105     2048 Bytes  27.09.2012 16:14:42

VBASE027.VDF   : 7.11.44.106     2048 Bytes  27.09.2012 16:14:43

VBASE028.VDF   : 7.11.44.107     2048 Bytes  27.09.2012 16:14:44

VBASE029.VDF   : 7.11.44.108     2048 Bytes  27.09.2012 16:14:44

VBASE030.VDF   : 7.11.44.109     2048 Bytes  27.09.2012 16:14:44

VBASE031.VDF   : 7.11.44.160   150016 Bytes  29.09.2012 07:23:44

Engineversion  : 8.2.10.178

AEVDF.DLL      : 8.1.2.10      102772 Bytes  02.08.2012 11:10:28

AESCRIPT.DLL   : 8.1.4.58      463226 Bytes  28.09.2012 16:17:04

AESCN.DLL      : 8.1.9.2       131444 Bytes  28.09.2012 16:17:00

AESBX.DLL      : 8.2.5.12      606578 Bytes  02.08.2012 11:10:33

AERDL.DLL      : 8.1.9.15      639348 Bytes  10.09.2011 12:42:47

AEPACK.DLL     : 8.3.0.38      811382 Bytes  28.09.2012 16:16:59

AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  25.09.2012 12:27:52

AEHEUR.DLL     : 8.1.4.108    5329272 Bytes  28.09.2012 16:15:51

AEHELP.DLL     : 8.1.24.0      258423 Bytes  28.09.2012 16:14:59

AEGEN.DLL      : 8.1.5.38      434548 Bytes  28.09.2012 16:14:56

AEEXP.DLL      : 8.2.0.2       115060 Bytes  28.09.2012 16:17:06

AEEMU.DLL      : 8.1.3.2       393587 Bytes  02.08.2012 11:08:26

AECORE.DLL     : 8.1.28.2      201079 Bytes  28.09.2012 16:14:51

AEBB.DLL       : 8.1.1.0        53618 Bytes  30.11.2010 17:12:29

AVWINLL.DLL    : 10.0.0.0       19304 Bytes  30.11.2010 17:12:39

AVPREF.DLL     : 10.0.3.2       44904 Bytes  03.07.2011 07:27:59

AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 18:31:12

AVARKT.DLL     : 10.0.26.1     255336 Bytes  03.07.2011 07:27:55

AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  03.07.2011 07:27:57

SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02

AVSMTP.DLL     : 10.0.0.17      63848 Bytes  30.11.2010 17:12:39

NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01

RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  03.07.2011 07:27:39

RCTEXT.DLL     : 10.0.64.0      98664 Bytes  03.07.2011 07:27:39
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Lokale Laufwerke

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, 

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: aus

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Intelligente Dateiauswahl

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Dienstag, 2. Oktober 2012  14:47
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'scheduler_proxy.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '1028' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\Sigrid\Anwendungsdaten\dwlGina3.dll

  [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

Beginne mit der Suche in 'D:\'

Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!

Systemfehler [21]: Das Gerät ist nicht bereit.
 

Beginne mit der Desinfektion:

C:\Dokumente und Einstellungen\Sigrid\Anwendungsdaten\dwlGina3.dll

  [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54694b18.qua' verschoben!
 
 

Ende des Suchlaufs: Dienstag, 2. Oktober 2012  15:41

Benötigte Zeit: 35:27 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   4383 Verzeichnisse wurden überprüft

 167363 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 167362 Dateien ohne Befall

   1164 Archive wurden durchsucht

      0 Warnungen

      1 Hinweise

dies ist dann wohl die besagte stelle:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Sigrid\Anwendungsdaten\dwlGina3.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

hi
öffne mal avira, verwaltung, quarantäne, dort siehst du alle funde, dort mal die fundmeldungen mit pfad angabe posten, außerdem:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Danke für die Antwort, hier ist der bericht:

Code:

ComboFix 12-10-04.02 - Sigrid 07.10.2012  18:45:00.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.196 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Sigrid\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Lavasoft Ad-Watch Live! Anti-Virus *Enabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\cswGina.dll

c:\windows\system32\dllcache\dlimport.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_xcpip

-------\Service_xpsec

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-07 bis 2012-10-07  ))))))))))))))))))))))))))))))

.

.

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-30 20:28 . 2006-02-28 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll

2012-08-30 20:28 . 2006-02-28 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx

2012-08-30 20:28 . 2006-02-28 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll

2012-08-30 20:26 . 2006-02-28 12:00        371200        ----a-w-        c:\windows\system32\html.iec

2012-04-06 14:13 . 2012-03-24 20:44        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Sigrid\Startmenü\Programme\Autostart\

OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 14:12 136360]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 12:35 119296]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

*Deregistered* - xcpip

*Deregistered* - xpsec

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\Sigrid\Anwendungsdaten\Mozilla\Firefox\Profiles\arxt7v7m.default\

FF - prefs.js: network.proxy.type - 2

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-10-07 18:55

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(804)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Analog Devices\SoundMAX\SMAgent.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\Lenovo\System Update\SUService.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\OpenOffice.org 3\program\soffice.exe

c:\programme\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-10-07  19:05:40 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-10-07 17:05

.

Vor Suchlauf: 6 Verzeichnis(se), 31.457.939.456 Bytes frei

Nach Suchlauf: 7 Verzeichnis(se), 31.626.956.800 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 5F5BB85624C5E294BE0D605032BFA5B0

Hi,

Markus is verhindert, ich mach hier mal weiter.

http://noahdfear.net/downloads/HAMeb_check.exe

Laden, laufen lassen und bitte das Ergebnis posten.

danke.

Code:

E:\HAMeb_check.exe

15.10.2012 at 18:45:56,51
 

No HelpAssistant account in User list
 
 

 ~~ Checking profile list ~~
 

No HelpAssistant profile in registry
 

 ~~ Checking for HelpAssistant directories ~~
 

none found
 

 ~~ Checking mbr ~~
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82372000]<< 

kernel: MBR read successfully

user & kernel MBR OK 
 

 ~~ Checking for termsrv32.dll ~~
 

termsrv32.dll was not found
 
 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

   ServiceDll        REG_EXPAND_SZ          %SystemRoot%\System32\termsrv.dll
 

 ~~ Checking firewall ports ~~
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]

   "3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

   "65533:TCP"=65533:TCP:*:Enabled:Services

   "52344:TCP"=52344:TCP:*:Enabled:Services
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

   "3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

   "65533:TCP"=65533:TCP:*:Enabled:Services

   "52344:TCP"=52344:TCP:*:Enabled:Services
 
 

 ~~ EOF ~~

http://www.trojaner-board.de/69886-a...-beachten.html

Von dieser Anleitung bitte nur Gmer scannen lassen. Log posten.

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-10-16 14:37:41

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHT2040AT rev.0022

Running: 4tisbwvh.exe; Driver: C:\DOKUME~1\Sigrid\LOKALE~1\Temp\pxtdapow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8C1F5DC                                                                                    ZwClose

SSDT            F8C1F596                                                                                    ZwCreateKey

SSDT            F8C1F5E6                                                                                    ZwCreateSection

SSDT            F8C1F58C                                                                                    ZwCreateThread

SSDT            F8C1F59B                                                                                    ZwDeleteKey

SSDT            F8C1F5A5                                                                                    ZwDeleteValueKey

SSDT            F8C1F5D7                                                                                    ZwDuplicateObject

SSDT            F8C1F5AA                                                                                    ZwLoadKey

SSDT            F8C1F578                                                                                    ZwOpenProcess

SSDT            F8C1F57D                                                                                    ZwOpenThread

SSDT            F8C1F5B4                                                                                    ZwReplaceKey

SSDT            F8C1F5AF                                                                                    ZwRestoreKey

SSDT            F8C1F5EB                                                                                    ZwSetContextThread

SSDT            F8C1F5A0                                                                                    ZwSetValueKey

SSDT            F8C1F587                                                                                    ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               RGRCZ@J@                                                                                   Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. !

?               system32\drivers\xpsec.sys                                                                  Das System kann den angegebenen Pfad nicht finden. !

?               system32\drivers\xcpip.sys                                                                  Das System kann den angegebenen Pfad nicht finden. !
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[364] WS2_32.dll!closesocket                    71A13E2B 5 Bytes  JMP 01C29D85 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[364] WS2_32.dll!send                           71A14C27 5 Bytes  JMP 01C298B1 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[364] WS2_32.dll!WSARecv                        71A14CB5 5 Bytes  JMP 01C29C37 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[364] WS2_32.dll!recv                           71A1676F 5 Bytes  JMP 01C29A03 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[364] WS2_32.dll!WSASend                        71A168FA 5 Bytes  JMP 01C29AD6 

.text           C:\WINDOWS\Explorer.EXE[512] USER32.dll!DisplayExitWindowsWarnings                          7E3A9F91 5 Bytes  JMP 01532A93 

.text           C:\WINDOWS\Explorer.EXE[512] WS2_32.dll!closesocket                                         71A13E2B 5 Bytes  JMP 021B9D85 

.text           C:\WINDOWS\Explorer.EXE[512] WS2_32.dll!send                                                71A14C27 5 Bytes  JMP 021B98B1 

.text           C:\WINDOWS\Explorer.EXE[512] WS2_32.dll!WSARecv                                             71A14CB5 5 Bytes  JMP 021B9C37 

.text           C:\WINDOWS\Explorer.EXE[512] WS2_32.dll!recv                                                71A1676F 5 Bytes  JMP 021B9A03 

.text           C:\WINDOWS\Explorer.EXE[512] WS2_32.dll!WSASend                                             71A168FA 5 Bytes  JMP 021B9AD6 

.text           C:\WINDOWS\system32\winlogon.exe[960] Secur32.dll!LsaLogonUser                              77FC33F1 5 Bytes  JMP 01262C81 

.text           C:\Programme\Synaptics\SynTP\SynTPLpr.exe[968] WS2_32.dll!closesocket                       71A13E2B 5 Bytes  JMP 00F79D85 

.text           C:\Programme\Synaptics\SynTP\SynTPLpr.exe[968] WS2_32.dll!send                              71A14C27 5 Bytes  JMP 00F798B1 

.text           C:\Programme\Synaptics\SynTP\SynTPLpr.exe[968] WS2_32.dll!WSARecv                           71A14CB5 5 Bytes  JMP 00F79C37 

.text           C:\Programme\Synaptics\SynTP\SynTPLpr.exe[968] WS2_32.dll!recv                              71A1676F 5 Bytes  JMP 00F79A03 

.text           C:\Programme\Synaptics\SynTP\SynTPLpr.exe[968] WS2_32.dll!WSASend                           71A168FA 5 Bytes  JMP 00F79AD6 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1068] WS2_32.dll!closesocket                      71A13E2B 5 Bytes  JMP 015C9D85 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1068] WS2_32.dll!send                             71A14C27 5 Bytes  JMP 015C98B1 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1068] WS2_32.dll!WSARecv                          71A14CB5 5 Bytes  JMP 015C9C37 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1068] WS2_32.dll!recv                             71A1676F 5 Bytes  JMP 015C9A03 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[1068] WS2_32.dll!WSASend                          71A168FA 5 Bytes  JMP 015C9AD6 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1628] WS2_32.dll!closesocket                             71A13E2B 5 Bytes  JMP 01BC9D85 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1628] WS2_32.dll!send                                    71A14C27 5 Bytes  JMP 01BC98B1 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1628] WS2_32.dll!WSARecv                                 71A14CB5 5 Bytes  JMP 01BC9C37 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1628] WS2_32.dll!recv                                    71A1676F 5 Bytes  JMP 01BC9A03 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1628] WS2_32.dll!WSASend                                 71A168FA 5 Bytes  JMP 01BC9AD6 

.text           C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe[2172] WS2_32.dll!closesocket  71A13E2B 5 Bytes  JMP 00C99D85 

.text           C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe[2172] WS2_32.dll!send         71A14C27 5 Bytes  JMP 00C998B1 

.text           C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe[2172] WS2_32.dll!WSARecv      71A14CB5 5 Bytes  JMP 00C99C37 

.text           C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe[2172] WS2_32.dll!recv         71A1676F 5 Bytes  JMP 00C99A03 

.text           C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe[2172] WS2_32.dll!WSASend      71A168FA 5 Bytes  JMP 00C99AD6 

.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2308] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 00D99D85 

.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2308] WS2_32.dll!send                                 71A14C27 5 Bytes  JMP 00D998B1 

.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2308] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 00D99C37 

.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2308] WS2_32.dll!recv                                 71A1676F 5 Bytes  JMP 00D99A03 

.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2308] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 00D99AD6 

.text           C:\Programme\Lenovo\System Update\SUService.exe[2572] WS2_32.dll!closesocket                71A13E2B 5 Bytes  JMP 00AC9D85 

.text           C:\Programme\Lenovo\System Update\SUService.exe[2572] WS2_32.dll!send                       71A14C27 5 Bytes  JMP 00AC98B1 

.text           C:\Programme\Lenovo\System Update\SUService.exe[2572] WS2_32.dll!WSARecv                    71A14CB5 5 Bytes  JMP 00AC9C37 

.text           C:\Programme\Lenovo\System Update\SUService.exe[2572] WS2_32.dll!recv                       71A1676F 5 Bytes  JMP 00AC9A03 

.text           C:\Programme\Lenovo\System Update\SUService.exe[2572] WS2_32.dll!WSASend                    71A168FA 5 Bytes  JMP 00AC9AD6 

.text           C:\WINDOWS\System32\alg.exe[2828] WS2_32.dll!closesocket                                    71A13E2B 5 Bytes  JMP 00B49D85 

.text           C:\WINDOWS\System32\alg.exe[2828] WS2_32.dll!send                                           71A14C27 5 Bytes  JMP 00B498B1 

.text           C:\WINDOWS\System32\alg.exe[2828] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 00B49C37 

.text           C:\WINDOWS\System32\alg.exe[2828] WS2_32.dll!recv                                           71A1676F 5 Bytes  JMP 00B49A03 

.text           C:\WINDOWS\System32\alg.exe[2828] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 00B49AD6 

.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[3212] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 00D19D85 

.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[3212] WS2_32.dll!send                                 71A14C27 5 Bytes  JMP 00D198B1 

.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[3212] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 00D19C37 

.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[3212] WS2_32.dll!recv                                 71A1676F 5 Bytes  JMP 00D19A03 

.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[3212] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 00D19AD6 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     mouclass.sys (Mausklassentreiber/Microsoft Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

Device          owAZEVAoRGRCZ \Device\Ide\IdeDeviceP0T0L0-3                                                 RGRCZ@J@

Device          owAZEVAoRGRCZ \Device\Ide\IdePort0                                                          RGRCZ@J@

Device          owAZEVAoRGRCZ \Device\Ide\IdePort1                                                          RGRCZ@J@

Device          owAZEVAoRGRCZ \Device\Ide\IdeDeviceP1T0L0-e                                                 RGRCZ@J@
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

Lösche bitte Combofix vom Desktop, neu laden und nochmal laufen lassen.

Combofix hab ich ausgeführt, bis dahin liefs auch noch in Ordnung. Beim automatischen Neustart hat sich der Laptop aber aufgehangen (schwarzer Bildschirm nach Windows Screen für ca 10 Minuten)...

Nach dem manuellen ausschalten und wieder hochfahren hat mir Combofix dann kein Log ausgespuckt...

Das Combofix Fenster ist noch offen und es hängt schon 10 Minuten bei "Starte keine anderen Programme, bevor ComboFix fertig ist"
***********************
Sorry für den Doppelpost - Ich war zu ungeduldig !

Nach absenden dieses Postings gings plötzlich weiter.... Und hab jetzt auch ein Log:

Sorry ;)

Code:

ComboFix 12-10-16.02 - Sigrid 16.10.2012  15:27:32.2.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.292 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Sigrid\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_xcpip

-------\Service_xpsec

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-16 bis 2012-10-16  ))))))))))))))))))))))))))))))

.

.

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-30 20:28 . 2006-02-28 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll

2012-08-30 20:28 . 2006-02-28 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx

2012-08-30 20:28 . 2006-02-28 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll

2012-08-30 20:26 . 2006-02-28 12:00        371200        ----a-w-        c:\windows\system32\html.iec

2012-04-06 14:13 . 2012-03-24 20:44        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Sigrid\Startmenü\Programme\Autostart\

OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 14:12 136360]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 12:35 119296]

.

--- Andere Dienste/Treiber im Speicher ---

.

*Deregistered* - xcpip

*Deregistered* - xpsec

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\Sigrid\Anwendungsdaten\Mozilla\Firefox\Profiles\arxt7v7m.default\

FF - prefs.js: network.proxy.type - 2

FF - ExtSQL: !HIDDEN! 2009-09-03 09:46; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-10-16 15:50

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(884)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Analog Devices\SoundMAX\SMAgent.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\Lenovo\System Update\SUService.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\OpenOffice.org 3\program\soffice.exe

c:\programme\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-10-16  16:03:41 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-10-16 14:03

ComboFix2.txt  2012-10-07 17:05

.

Vor Suchlauf: 6 Verzeichnis(se), 31.655.927.808 Bytes frei

Nach Suchlauf: 7 Verzeichnis(se), 31.649.587.200 Bytes frei

.

- - End Of File - - 2F5B02D362B1AEBA0A5F88F07BCFB499

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.

Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
Solltest Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es.
Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".

http://larusso.trojaner-board.de/Images/otlpe.jpg

Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken

http://larusso.trojaner-board.de/Images/otlpe2.jpg

Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

http://larusso.trojaner-board.de/Images/otlpe3.jpg

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).

Leere den USB Stick auf den Du OTLPE erstellen willst.
Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.
Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Extras.txt wurde nicht erstellt?

ich habe das ganze per CD gebootet, da der Laptop nicht mit USB booten konnte... es erschien dann nur die Meldung "Gerät entfernen, Neustarten Taste drücken", also hab ich das alles auf CD gebrannt und von dort den Scan laufen lassen. Hier das Log

Code:

OTL logfile created on: 10/16/2012 6:56:45 PM - Run 

OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

511.00 Mb Total Physical Memory | 332.00 Mb Available Physical Memory | 65.00% Memory free

459.00 Mb Paging File | 341.00 Mb Available in Paging File | 74.00% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 37.26 Gb Total Space | 29.60 Gb Free Space | 79.43% Space Free | Partition Type: NTFS

Drive D: | 987.00 Mb Total Space | 679.83 Mb Free Space | 68.88% Space Free | Partition Type: FAT

Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet001

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [Disabled] --  -- (HidServ)

SRV - File not found [On_Demand] --  -- (AppMgmt)

SRV - [2011/07/03 03:27:58 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2011/05/03 11:09:54 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2011/04/18 08:11:40 | 000,028,672 | ---- | M] (Lenovo Group Limited) [Auto] -- C:\Programme\Lenovo\System Update\SUService.exe -- (SUService)

SRV - [2008/03/04 04:34:12 | 001,122,304 | ---- | M] (Lenovo Group Limited) [Auto] -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- (TVT Scheduler)

SRV - [2007/09/26 11:34:46 | 000,644,408 | ---- | M] (Lenovo Group Limited) [Auto] -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe -- (ThinkVantage Registry Monitor Service)

SRV - [2005/11/22 10:20:28 | 000,036,864 | ---- | M] () [On_Demand] -- C:\WINDOWS\system32\acs.exe -- (ACS)

SRV - [2002/09/20 08:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)

DRV - File not found [Kernel | System] --  -- (PCIDump)

DRV - File not found [Kernel | System] --  -- (lbrtfdc)

DRV - File not found [Kernel | On_Demand] --  -- (Lavasoft Kernexplorer)

DRV - File not found [Kernel | System] --  -- (i2omgmt)

DRV - File not found [Kernel | System] --  -- (Changer)

DRV - File not found [Kernel | On_Demand] --  -- (catchme)

DRV - [2011/07/03 03:28:22 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2011/07/03 03:28:22 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2010/06/17 09:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2010/06/17 09:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)

DRV - [2007/02/19 01:56:46 | 000,021,376 | ---- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)

DRV - [2007/02/06 17:38:32 | 001,133,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2004/05/04 06:35:56 | 000,119,296 | ---- | M] (Cisco Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PCX504.sys -- (PCX504)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\Sigrid_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\systemprofile_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/04/06 10:13:59 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/04/17 12:37:15 | 000,000,000 | ---D | M]

 

[2011/12/20 15:23:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2012/04/06 10:13:58 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2010/09/14 23:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll

[2012/03/24 16:43:39 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2012/03/24 16:43:38 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2012/03/24 16:43:38 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2012/03/24 16:43:26 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2012/03/24 16:43:24 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2012/03/24 16:43:23 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2012/10/16 09:49:11 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)

O4 - HKLM..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe (Lenovo Group Limited)

O4 - Startup: C:\Dokumente und Einstellungen\Sigrid\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Sigrid_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\Sigrid_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\Sigrid_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} hxxp://www-307.ibm.com/pc/support/acpir.cab (IASRunner Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009/05/06 09:59:08 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 09:06:42 | 000,000,053 | ---- | M] () - D:\AUTORUN.INF -- [ FAT ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012/10/16 09:23:34 | 004,981,258 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Sigrid\Desktop\ComboFix.exe

[2012/10/07 12:38:50 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2012/10/07 12:34:46 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2012/10/07 12:34:46 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2012/10/07 12:34:46 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2012/10/07 12:34:46 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2012/10/07 12:32:36 | 000,000,000 | ---D | C] -- C:\Qoobox

[2012/10/07 12:32:28 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos

[2012/10/07 12:32:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt

[2012/10/02 09:42:43 | 000,600,064 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sigrid\Desktop\OTL.exe

[2012/10/02 08:37:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sigrid\Desktop\HiJackThis204.exe

[2012/09/25 09:42:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sigrid\Recent

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012/10/16 11:45:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012/10/16 09:49:11 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2012/10/16 09:20:00 | 004,981,258 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Sigrid\Desktop\ComboFix.exe

[2012/10/15 12:42:00 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2012/10/07 12:38:59 | 000,002,340 | ---- | M] () -- C:\coinst.trc

[2012/10/07 12:38:59 | 000,000,327 | RHS- | M] () -- C:\boot.ini

[2012/10/07 12:28:40 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\rp_stats.dat

[2012/10/07 12:28:40 | 000,000,044 | ---- | M] () -- C:\WINDOWS\System32\rp_rules.dat

[2012/10/02 09:42:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Sigrid\defogger_reenable

[2012/10/02 09:31:54 | 000,600,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sigrid\Desktop\OTL.exe

[2012/10/02 09:31:22 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Sigrid\Desktop\Defogger.exe

[2012/10/02 08:37:19 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sigrid\Desktop\HiJackThis204.exe

[2012/09/28 14:01:39 | 000,112,584 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2012/09/28 12:38:02 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2012/10/07 12:38:59 | 000,000,211 | ---- | C] () -- C:\Boot.bak

[2012/10/07 12:38:52 | 000,262,448 | RHS- | C] () -- C:\cmldr

[2012/10/07 12:34:46 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2012/10/07 12:34:46 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2012/10/07 12:34:46 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2012/10/07 12:34:46 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2012/10/07 12:34:46 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2012/10/02 09:42:51 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Sigrid\defogger_reenable

[2012/10/02 09:42:43 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Sigrid\Desktop\Defogger.exe

[2012/09/28 12:33:18 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK

[2012/02/16 09:36:15 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2012/02/04 10:01:42 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat

[2012/02/04 10:01:42 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat

[2010/08/04 12:04:19 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010/02/08 07:50:43 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI

[2009/11/21 09:17:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2009/05/06 14:11:55 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\acs.exe

[2009/05/06 14:11:54 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll

[2009/05/06 14:11:54 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll

[2009/05/06 14:11:14 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe

[2009/05/06 10:43:33 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2009/05/06 10:41:40 | 000,112,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2009/05/06 10:02:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2009/05/06 09:55:02 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2006/06/16 10:09:52 | 000,045,124 | ---- | C] () -- C:\WINDOWS\System32\LsaWrApi.dll

[2006/06/16 09:57:32 | 000,528,453 | ---- | C] () -- C:\WINDOWS\System32\C1XStngs.dll

[2006/06/16 09:56:10 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\D8021Xps.dll

[2006/02/28 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2006/02/28 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2006/02/28 08:00:00 | 000,485,802 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[2006/02/28 08:00:00 | 000,463,690 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2006/02/28 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2006/02/28 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[2006/02/28 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2006/02/28 08:00:00 | 000,096,602 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[2006/02/28 08:00:00 | 000,080,774 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2006/02/28 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2006/02/28 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[2006/02/28 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2006/02/28 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2006/02/28 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

[2006/02/28 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[2006/02/28 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2005/04/08 11:42:06 | 000,087,540 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

[2003/08/06 09:23:08 | 000,131,072 | ---- | C] () -- C:\WINDOWS\System32\e1000msg.dll

[2003/07/02 19:25:00 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ibmpmsvc.exe

[2003/07/02 19:25:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\tpinspm.dll

[2003/06/24 08:43:48 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll

[2002/11/15 06:13:44 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\CInsX500.dll

 
 ========== LOP Check ==========

 

[2012/02/16 09:13:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software

[2009/05/08 13:40:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sigrid\Anwendungsdaten\OpenOffice.org

[2009/05/06 13:30:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sigrid\Anwendungsdaten\Opera

[2012/02/02 13:41:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sigrid\Anwendungsdaten\TuneUp Software

[2012/02/02 13:43:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software

[2012/02/02 13:37:51 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}

 
 ========== Purity Check ==========

 

 

< End of report >

EDIT:
Haken war falsch gesetzt. Hier die extras.txt

Code:

OTL Extras logfile created on: 10/16/2012 7:07:48 PM - Run 

OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

511.00 Mb Total Physical Memory | 299.00 Mb Available Physical Memory | 59.00% Memory free

459.00 Mb Paging File | 319.00 Mb Available in Paging File | 70.00% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 37.26 Gb Total Space | 29.60 Gb Free Space | 79.43% Space Free | Partition Type: NTFS

Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet001

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.html [@ = Opera.HTML] -- Reg Error: Key error. File not found

.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

https [open] -- "C:\Programme\Opera\opera.exe"

InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 1

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop

"65533:TCP" = 65533:TCP:*:Enabled:Services

"52344:TCP" = 52344:TCP:*:Enabled:Services

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop

"65533:TCP" = 65533:TCP:*:Enabled:Services

"52344:TCP" = 52344:TCP:*:Enabled:Services

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel

"{0C34B801-6AEC-4667-B053-03A67E2D0415}" = Apple Application Support

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 22

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{67D7BC74-E8DF-4811-9B41-6023A8C9BB3F}" = Intel(R) Sebring API 

"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update

"{8675339C-128C-44DD-83BF-0A5D6ABD8297}" = System Update

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9FAC9E5C-0D20-4DBF-AFE5-2E09C52A95A2}" = ThinkPad Wireless LAN Adapters Software (11a/b, 11b/g, 11a/b/g)

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime

"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C75C9B85-4D7B-4E8B-8BDB-60C737610C2D}" = CSWGina

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1

"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"CCleaner" = CCleaner

"Defraggler" = Defraggler

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)

"Power Management Driver" = IBM ThinkPad Power Management Driver

"SynTPDeinstKey" = IBM ThinkPad UltraNav Driver

"WIC" = Windows Imaging Component

 

< End of report >

Hi,

OTLPE öffnen, also wieder von CD booten, folgenden Text in die Custom Scan Box kopieren.

Code:

:Services

xcpip

xpsec

:Files

c:\windows\system32\drivers\xpsec.sys

c:\windows\system32\drivers\xcpip.sys

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"3389:TCP"=-

"65533:TCP"=-

"52344:TCP"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"3389:TCP"=-

"65533:TCP"=-

"52344:TCP"=-

Fix drücken. Fixlog hier posten, reboot in Windows, und Combofix laufen lassen, log ebenfalls posten.

Hi,

hier der fix-Log:

Code:

========== SERVICES/DRIVERS ==========

Service\Driver key xcpip not found.

Service\Driver key xpsec not found.

========== FILES ==========

File\Folder c:\windows\system32\drivers\xpsec.sys not found.

File\Folder c:\windows\system32\drivers\xcpip.sys not found.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\\3389:TCP deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\\65533:TCP deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\\52344:TCP deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\3389:TCP deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\65533:TCP deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\52344:TCP deleted successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10162012_233129

und hier combofix ... diesmal ist der laptop beim "Willkommen" Bildschirm von XP eingefroren... 15 Minuten lang tat sich nix... -> Manuelles ausschalten ->Hochfahren, ewig warten... und dann kam folgender Log:

Code:

ComboFix 12-10-16.02 - Sigrid 16.10.2012  23:48:43.3.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.84 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Sigrid\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_xcpip

-------\Service_xpsec

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-16 bis 2012-10-16  ))))))))))))))))))))))))))))))

.

.

2012-10-17 03:31 . 2012-10-17 03:31        --------        d-----w-        C:\_OTL

2012-10-16 23:00 . 2012-10-16 23:00        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-30 20:28 . 2006-02-28 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll

2012-08-30 20:28 . 2006-02-28 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx

2012-08-30 20:28 . 2006-02-28 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll

2012-08-30 20:26 . 2006-02-28 12:00        371200        ----a-w-        c:\windows\system32\html.iec

2012-04-06 14:13 . 2012-03-24 20:44        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Sigrid\Startmenü\Programme\Autostart\

OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 14:12 136360]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 12:35 119296]

.

--- Andere Dienste/Treiber im Speicher ---

.

*Deregistered* - xcpip

*Deregistered* - xpsec

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\Sigrid\Anwendungsdaten\Mozilla\Firefox\Profiles\arxt7v7m.default\

FF - prefs.js: network.proxy.type - 2

FF - ExtSQL: !HIDDEN! 2009-09-03 09:46; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-10-17 00:12

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(812)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Analog Devices\SoundMAX\SMAgent.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\Lenovo\System Update\SUService.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\OpenOffice.org 3\program\soffice.exe

c:\programme\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-10-17  00:22:24 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-10-16 22:22

ComboFix2.txt  2012-10-16 14:03

ComboFix3.txt  2012-10-07 17:05

.

Vor Suchlauf: 7 Verzeichnis(se), 31.647.850.496 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 31.641.665.536 Bytes frei

.

- - End Of File - - 01BC7AB307E0757EDE8D70E34504CFEE