Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   rechner schlagartig langsam (https://www.trojaner-board.de/80863-rechner-schlagartig-langsam.html)

karte 27.12.2009 20:20
rechner schlagartig langsam
 
hi!
ich warte hier gerade den rechner meines vaters, der schlagartig ziemlich langsam wurde..

ich habe standard mäßig ausgemistet, aber das ganze kommt mir nicht so recht koscher vor, desshalb bitte ich um eure hilfe!

könnt ihr mal über die logs drüberschauen?

erst der log nach dem ausmisten, und dahinter noch der von davor

vielen dank!

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:56, on 27.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\McAfee\Common Framework\udaterui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mfevtps.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.info/ie2wk.php?hid=w3foto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: OKI OPHG DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE

--
End of file - 5942 bytes
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:38, on 27.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mfevtps.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\McAfee\Common Framework\udaterui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.info/ie2wk.php?hid=w3foto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: OKI OPHG DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE

--
End of file - 6240 bytes

karte 27.12.2009 20:52
hier noch der RSIT log
(McAffe scan läuft nebenher, habe ich während des logs angehalten)

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Praxis at 2009-12-27 20:50:52
Microsoft Windows XP Professional Service Pack 3
System drive C: has 54 GB (71%) free of 76 GB
Total RAM: 502 MB (14% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:53, on 27.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\McAfee\Common Framework\udaterui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mfevtps.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Praxis\Desktop\RSIT.exe
C:\Programme\HijackThis\Praxis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.info/ie2wk.php?hid=w3foto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: OKI OPHG DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE

--
End of file - 5986 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll [2008-09-29 61200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2006-07-21 98304]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2006-07-21 86016]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2006-07-21 81920]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"ToADiMon.exe"=C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe [2006-10-13 282624]
"McAfeeUpdaterUI"=C:\Programme\McAfee\Common Framework\udaterui.exe [2008-03-14 136512]
"ShStatEXE"=C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE [2008-09-29 124240]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-06-02 1660952]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2006-07-21 147456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Dokumente und Einstellungen\Praxis\Lokale Einstellungen\Temp\jivexviewer\jre\bin\JiveX[dv] light"="C:\Dokumente und Einstellungen\Praxis\Lokale Einstellungen\Temp\jivexviewer\jre\bin\JiveX[dv] light:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\Programme\McAfee\Common Framework\FrameworkService.exe"="C:\Programme\McAfee\Common Framework\FrameworkService.exe:*:Enabled:McAfee Framework Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-12-27 20:49:23 ----D---- C:\rsit
2009-12-27 20:46:27 ----D---- C:\Lop SD
2009-12-27 19:44:04 ----D---- C:\WINDOWS\SxsCaPendDel
2009-12-27 19:43:23 ----SHD---- C:\Config.Msi
2009-12-27 19:41:18 ----D---- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\Foxit
2009-12-27 19:39:47 ----D---- C:\Programme\Foxit Reader
2009-12-27 19:16:50 ----D---- C:\Programme\CCleaner
2009-12-27 19:09:58 ----HDC---- C:\WINDOWS\$NtUninstallKB975254$
2009-12-27 19:08:48 ----HDC---- C:\WINDOWS\$NtUninstallKB970483$
2009-12-27 19:08:16 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-12-27 19:08:00 ----N---- C:\WINDOWS\system32\xpsp4res.dll
2009-12-27 19:07:33 ----HDC---- C:\WINDOWS\$NtUninstallKB953155$
2009-12-27 18:50:04 ----A---- C:\WINDOWS\system32\pdfcmnnt.dll
2009-12-27 18:50:02 ----A---- C:\WINDOWS\system32\VB6DE.DLL
2009-12-27 18:50:02 ----A---- C:\WINDOWS\system32\MSCMCDE.DLL
2009-12-27 18:50:01 ----A---- C:\WINDOWS\system32\MSMPIDE.DLL
2009-12-27 18:50:01 ----A---- C:\WINDOWS\system32\MSCC2DE.DLL
2009-12-27 18:50:00 ----D---- C:\Programme\PDFCreator
2009-12-27 18:37:00 ----D---- C:\Programme\HijackThis
2009-12-09 12:38:37 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2009-12-09 12:38:26 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2009-12-09 12:38:16 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-09 12:37:29 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2009-12-09 12:37:16 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$
2009-12-08 07:37:58 ----A---- C:\WINDOWS\system32\javaws.exe
2009-12-08 07:37:58 ----A---- C:\WINDOWS\system32\javaw.exe
2009-12-08 07:37:58 ----A---- C:\WINDOWS\system32\java.exe

======List of files/folders modified in the last 1 months======

2009-12-27 20:41:30 ----D---- C:\Programme\Mozilla Firefox
2009-12-27 20:28:30 ----D---- C:\WINDOWS\Temp
2009-12-27 20:03:21 ----D---- C:\WINDOWS\system32\CatRoot2
2009-12-27 19:53:29 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-12-27 19:48:03 ----D---- C:\WINDOWS
2009-12-27 19:44:04 ----SHD---- C:\WINDOWS\Installer
2009-12-27 19:43:48 ----RD---- C:\Programme
2009-12-27 19:43:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-12-27 19:43:32 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-12-27 19:42:17 ----D---- C:\WINDOWS\system32
2009-12-27 19:36:11 ----HD---- C:\WINDOWS\inf
2009-12-27 19:35:47 ----D---- C:\WINDOWS\system32\CatRoot
2009-12-27 19:14:19 ----D---- C:\WINDOWS\AppPatch
2009-12-27 19:10:06 ----RSHD---- C:\WINDOWS\system32\dllcache
2009-12-27 19:09:41 ----HD---- C:\WINDOWS\$hf_mig$
2009-12-27 19:08:58 ----A---- C:\WINDOWS\imsins.BAK
2009-12-27 19:08:41 ----D---- C:\WINDOWS\Prefetch
2009-12-27 19:06:31 ----D---- C:\WINDOWS\WinSxS
2009-12-27 19:06:23 ----D---- C:\Programme\Messenger
2009-12-27 18:53:23 ----D---- C:\Programme\FreePDF_XP
2009-12-27 18:51:13 ----D---- C:\QUARANTINE
2009-12-21 17:40:59 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-12-15 10:57:02 ----D---- C:\Programme\Mozilla Thunderbird
2009-12-09 12:38:39 ----D---- C:\WINDOWS\system32\drivers
2009-12-09 12:38:02 ----D---- C:\WINDOWS\system32\de-de
2009-12-09 12:38:02 ----D---- C:\Programme\Internet Explorer
2009-12-09 12:37:51 ----D---- C:\WINDOWS\ie7updates
2009-12-08 07:37:48 ----D---- C:\Programme\Java
2009-12-01 21:06:19 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 mfetdik;McAfee Inc. mfetdik; C:\WINDOWS\system32\drivers\mfetdik.sys [2008-09-29 62704]
R3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160]
R3 BCMTPM;BCMTPM; C:\WINDOWS\system32\DRIVERS\btpmw32.sys [2005-12-08 17290]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2006-07-21 1095968]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
R3 mfeapfk;McAfee Inc. mfeapfk; C:\WINDOWS\system32\drivers\mfeapfk.sys [2008-09-29 74648]
R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2008-09-29 90360]
R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2008-09-29 42424]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\p3.sys [2008-04-14 46848]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS []
S3 mferkdet;McAfee Inc. mferkdet; C:\WINDOWS\system32\drivers\mferkdet.sys [2008-09-29 64432]
S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver; \??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 iaStor;Intel RAID Controller; C:\WINDOWS\system32\DRIVERS\iaStor.sys [2006-05-11 247808]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 McAfeeEngineService;McAfee Engine Service; C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe [2008-09-29 19456]
R2 McAfeeFramework;McAfee Framework-Dienst; C:\Programme\McAfee\Common Framework\FrameworkService.exe [2008-03-14 103744]
R2 McShield;McAfee McShield; C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe [2008-09-29 143088]
R2 McTaskManager;McAfee Task Manager; C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe [2008-09-29 62800]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 mfevtp;McAfee Validation Trust Protection Service; C:\WINDOWS\system32\mfevtps.exe [2008-09-29 67904]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst; C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 61440]
R2 OKI OPHG DCS Loader;OKI OPHG DCS Loader; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE [2005-11-22 24576]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

malwarebytes log kommt noch,
adfür habe ich heute aber keine zeit mehr, da mcaffee noch läuft..
danke

karte 28.12.2009 17:10
so hier noch der malwarebytes log.

ich habe jetzt alle einleitungen vom board durchgeführt, wäre wirklich toll, wenn jemand mir einen tipp (auch wenn es nur eine entwarnung ist) geben könnte!

mcaffe hat sichts gefunden.
vielen dank

Code:
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3441
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.12.2009 17:07:11
mbam-log-2009-12-28 (17-07-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 175208
Laufzeit: 1 hour(s), 13 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You 28.12.2009 17:17
Hi,

wurde schon was gelöscht auf dem Rechner...
Die ausgeschalteten Benachrichtigungen auf dem Rechner sind typisch für eine Infektion...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

MBR-Rootkit

Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Danach sehen wir weiter...

chris
Ps.: Ventilatoren, Festplatte sind Ok?

karte 28.12.2009 18:12
"wurde schon was gelöscht auf dem Rechner..."
meinst du daten? nicht dass ich wüsste..

bevor ich mit deiner anleitung loslege noch eine bemerkung:
zwei mcafee-prozesse beanspruchen laut task-manager knapp 150mb arbeitsspeicher, ist das normal?

1. ich habe gmer gestartet, folgende liste wurde angezeigt, die ich über copy hier eingefügt habe:
fragen kamen keine (die ich mit nein hätte beantworten können)

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2009-12-28 18:07:17
Windows 5.1.2600 Service Pack 3
Running: m9k10clp.exe; Driver: C:\DOKUME~1\******\LOKALE~1\Temp\ffliypoc.sys


---- System - GMER 1.0.15 ----

Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwCreateFile [0xF81891C8]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwCreateKey [0xF8189086]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwCreateProcess [0xF8189020]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xF8189034]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwDeleteKey [0xF818909A]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwDeleteValueKey [0xF81890C6]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwEnumerateKey [0xF8189134]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwEnumerateValueKey [0xF818911E]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwLoadKey2 [0xF818914A]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwMapViewOfSection [0xF8189208]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwNotifyChangeKey [0xF8189176]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwOpenKey [0xF8189072]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwOpenProcess [0xF8188FE4]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwOpenThread [0xF8188FF8]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwProtectVirtualMemory [0xF81891DC]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwQueryKey [0xF81891B2]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwQueryMultipleValueKey [0xF8189108]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwQueryValueKey [0xF81890F2]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwRenameKey [0xF81890B0]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwReplaceKey [0xF818919E]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwRestoreKey [0xF818918A]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwSetContextThread [0xF818905E]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xF818904A]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwSetValueKey [0xF81890DC]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xF8189237]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwUnloadKey [0xF8189160]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwUnmapViewOfSection [0xF818921E]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwYieldExecution [0xF81891F2]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtCreateFile
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtMapViewOfSection
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtOpenProcess
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtOpenThread
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                        mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                      mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                      mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                      mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                    mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----

2. im geöffneten programm habe ich den scan angeschmissen (läuft noch)

3. mbr rootkit habe ich vorbereitet, kommt direkt im anschluss

Chris4You 28.12.2009 18:15
Hi,

sieht bis jetzt normal aus...
Mit gelöscht meine ich Malware die gelöscht wurde, irgendeiner muss ja die Einträge umgesetzt haben, die MAM angezeigt hat....

Ob McAffe soviel Speicher brauchen (darf) kann ich Dir nicht sagen, sieht aber schon nach recht viel aus...

chris

karte 28.12.2009 18:30
vielen dank erstmal noch für die schnelle hilfe!

zu
2. (gmer) der rechner ist gerade abgestürzt (hat er schonmal gemacht, als ich gmer das erste mal gestartet hatte, davor nie)

deshalb erstmal 3. (mbr)
habe die anleitung befolgt und das ergebnis in cmd sah so aus, wie du es beschrieben hast. die log-datei erscheint allerdings nicht im verzeichnis!?

Chris4You 28.12.2009 18:37
Hi,

versuche Gmer im abgesicherten Laufen zu lassen....
Vorher folgende SW (falls vorhanden) deinstallieren:
- Daemontools
- Alcohol

Hmm, das Gmer abraucht ist normalerweise kein gutes Zeichen....

chris

karte 28.12.2009 19:09
so
2. (gmer) im abgesicherten modus:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-28 19:04:41
Windows 5.1.2600 Service Pack 3
Running: m9k10clp.exe; Driver: C:\DOKUME~1\*****\LOKALE~1\Temp\ffliypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

?    C:\DOKUME~1\******\LOKALE~1\Temp\mbr.sys  Das System kann die angegebene Datei nicht finden. !

---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0                    sector 01: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 02: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 03: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 04: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 05: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 06: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 07: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 08: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 09: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 10: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 11: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 12: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 13: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 14: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 15: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 16: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 17: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 18: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 19: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 20: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 21: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 22: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 23: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 24: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 25: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 26: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 27: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 28: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 29: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 30: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 31: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 32: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 33: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 34: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 35: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 36: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 37: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 38: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 39: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 40: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 41: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 42: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 43: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 44: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 45: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 46: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 47: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 48: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 49: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 50: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 51: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 52: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 53: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 54: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 55: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 56: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 57: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 58: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 59: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 60: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 61: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 62: copy of MBR
Disk  \Device\Harddisk0\DR0                    sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

3. funktioniert leider nicht (steht da nicht sogar etwas davon im gmer log?)

ach ja, mcafee habe ich runtergeschmissen! mit 150mb mehr arbeitsspeicher läuft der rechner schon deutlich schneller (antivir braucht gerade mal 30mb)
kann ich beruhigt sein?

Chris4You 28.12.2009 19:23
Hi,

mir gefallen die vielen MBR-Kopien nicht...

Daher CF:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

karte 28.12.2009 19:47
combofix log:
Code:
ComboFix 09-12-27.04 - Praxis 28.12.2009  19:41:39.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.159 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*******\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

(((((((((((((((((((((((  Dateien erstellt von 2009-11-28 bis 2009-12-28  ))))))))))))))))))))))))))))))
.

2009-12-28 17:50 . 2009-12-28 17:53        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-12-28 17:50 . 2009-03-30 08:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2009-12-28 17:50 . 2009-02-13 10:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2009-12-28 17:50 . 2009-02-13 10:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2009-12-28 17:50 . 2009-12-28 17:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-28 17:50 . 2009-12-28 17:50        --------        d-----w-        c:\programme\Avira
2009-12-28 17:23 . 2009-12-28 17:23        --------        d-----w-        c:\programme\mbr
2009-12-28 16:42 . 2009-12-28 17:24        --------        d-----w-        C:\temp gmer
2009-12-27 19:52 . 2009-12-27 19:52        --------        d-----w-        c:\dokumente und einstellungen\******\Anwendungsdaten\Malwarebytes
2009-12-27 19:52 . 2009-12-03 15:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 19:52 . 2009-12-27 19:52        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-27 19:52 . 2009-12-03 15:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-12-27 19:52 . 2009-12-27 19:52        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-12-27 19:49 . 2009-12-27 19:49        --------        d-----w-        C:\rsit
2009-12-27 19:46 . 2009-12-27 19:46        --------        d-----w-        C:\Lop SD
2009-12-27 18:44 . 2009-12-27 18:47        --------        d-----w-        c:\windows\SxsCaPendDel
2009-12-27 18:41 . 2009-12-27 18:41        --------        d-----w-        c:\dokumente und einstellungen\******\Anwendungsdaten\Foxit
2009-12-27 18:39 . 2009-12-27 18:41        --------        d-----w-        c:\programme\Foxit Reader
2009-12-27 18:18 . 2009-12-27 18:18        --------        d-----w-        c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\PCHealth
2009-12-27 18:16 . 2009-12-27 19:23        --------        d-----w-        c:\programme\CCleaner
2009-12-27 18:09 . 2009-09-06 07:09        126976        ------w-        c:\windows\system32\dllcache\ftpsvc2.dll
2009-12-27 18:08 . 2009-05-21 18:47        268288        ------w-        c:\windows\system32\dllcache\httpext.dll
2009-12-27 18:08 . 2008-05-05 06:25        3072        ------w-        c:\windows\system32\xpsp4res.dll
2009-12-27 18:08 . 2008-04-21 21:13        217600        ------w-        c:\windows\system32\dllcache\wordpad.exe
2009-12-27 18:06 . 2008-08-28 07:46        74752        ------w-        c:\windows\system32\dllcache\msw3prt.dll
2009-12-27 18:06 . 2008-08-28 07:46        104960        ------w-        c:\windows\system32\dllcache\win32spl.dll
2009-12-27 17:50 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll
2009-12-27 17:50 . 1998-07-06 17:56        125712        ----a-w-        c:\windows\system32\VB6DE.DLL
2009-12-27 17:50 . 1998-07-06 17:55        158208        ----a-w-        c:\windows\system32\MSCMCDE.DLL
2009-12-27 17:50 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL
2009-12-27 17:50 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL
2009-12-27 17:50 . 2009-12-27 17:52        --------        d-----w-        c:\programme\PDFCreator
2009-12-27 17:45 . 2009-12-27 17:45        --------        d-----w-        c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\FreePDF_XP
2009-12-08 06:34 . 2009-12-08 06:34        152576        ----a-w-        c:\dokumente und einstellungen\*****\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-08 06:34 . 2009-12-08 06:34        79488        ----a-w-        c:\dokumente und einstellungen\******\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 17:45 . 2009-11-19 14:08        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-12-28 17:44 . 2009-11-19 14:08        --------        d-----w-        c:\programme\McAfee
2009-12-27 18:43 . 2008-02-20 11:14        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2009-12-27 17:53 . 2009-07-28 12:27        --------        d-----w-        c:\programme\FreePDF_XP
2009-12-21 16:40 . 2004-08-20 19:07        64598        ----a-w-        c:\windows\system32\perfc007.dat
2009-12-21 16:40 . 2004-08-20 19:07        394500        ----a-w-        c:\windows\system32\perfh007.dat
2009-12-15 09:57 . 2007-03-30 10:34        --------        d-----w-        c:\programme\Mozilla Thunderbird
2009-12-08 06:37 . 2007-02-07 12:44        --------        d-----w-        c:\programme\Java
2009-11-19 14:08 . 2009-11-19 14:08        --------        d-----w-        c:\programme\Gemeinsame Dateien\Cisco Systems
2009-11-19 14:08 . 2007-02-07 13:14        --------        d-----w-        c:\programme\Network Associates
2009-10-29 07:41 . 2004-08-20 19:07        832512        ----a-w-        c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2004-08-20 19:07        78336        ----a-w-        c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2004-08-20 19:07        17408        ----a-w-        c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2004-08-20 19:07        75776        ----a-w-        c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-20 19:07        25088        ----a-w-        c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00        265728        ----a-w-        c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-20 19:07        271360        ----a-w-        c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-20 19:07        79872        ----a-w-        c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-20 19:07        150528        ----a-w-        c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-04-14 10:01        411368        ----a-w-        c:\windows\system32\deploytk.dll
2007-10-11 05:35 . 2007-10-11 05:35        9679815        ----a-w-        c:\programme\vlc-0.8.6c-win32.exe
2007-07-03 05:30 . 2007-07-03 05:30        455        ----a-w-        c:\programme\Verknüpfung mit FotoUp.lnk
2007-01-03 17:13 . 2007-06-28 05:26        466        ----a-w-        c:\programme\fotoup.lnk
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-07-21 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2006-10-13 282624]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-10-20 176128]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2007-2-27 126976]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-06-02 20:44        1660952        ----a-w-        c:\programme\Messenger\Msmsgs.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [28.12.2009 18:50 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.12.2009 18:50 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [28.12.2009 18:50 434945]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [16.02.2007 12:50 61440]
R2 OKI OPHG DCS Loader;OKI OPHG DCS Loader;c:\windows\system32\spool\drivers\w32x86\3\OPHGLDCS.EXE [07.02.2007 14:14 24576]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [16.02.2007 12:50 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [16.02.2007 12:50 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [16.02.2007 12:49 17536]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fujitsu-siemens.de/
IE: Fotoabzug online bestellen ! - http://fotoup.info/ie2wk.php?hid=w3foto
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\fy5ux7s7.default\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 19:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(828)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(1204)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\progra~1\MICROS~2\OFFICE11\MCPS.DLL

- - - - - - - > 'explorer.exe'(3480)
c:\programme\Microsoft Office\OFFICE11\msohev.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-12-28  19:46:59
ComboFix-quarantined-files.txt  2009-12-28 18:46

Vor Suchlauf: 15 Verzeichnis(se), 56.952.754.176 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 57.773.969.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - AAE8450882582EBFB68F7C1A4B070B0A

Chris4You 28.12.2009 19:56
Hi,

Log ist Okay...
Was macht der Rechner?

chris
Ps.: Kombiniere Avira noch mit einem verhaltensbasierten Scanner wie Threadfire (es gibt auch eine konstenlose Version)...
http://www.threatfire.com/de/

karte 28.12.2009 20:06
wie gesagt, seitdem mcafee nicht mehr 20% des arbeitsspeichers nutzt läuft der rechner schon deutlich besser.
ich werde threatfire noch dazu installieren.

leider muss ich jetzt los, evtl. gehe ich morgen nochmal an den rechner.. oder kann ich jetzt beruhigt sein?

Vielen dank für alles!
das trojaner-board ist wirklich der hammer!

Chris4You 28.12.2009 20:20
Hi,

sollte eigentlich Okay sein der Rechner, hier noch ein Hinweis was Avira so bis morgen machen könnte:

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-a...tellungen.html und mache dann einen Fullscan...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131