Trojaner-Board - Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? (https://www.trojaner-board.de/83140-tr-rootkit-gen-rootkit.html)

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?

Hi Leute, bin neu hier, vielleicht könnt ihr mir helfen, imGoogle finde ich nicht so recht was...

Mein Antivir (Freeware findet immer wieder den TR/Rootkit.Gen

Hier der Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 20. Februar 2010 19:15

Es wird nach 1775102 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FUJITSU-9B87BAD

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 08.12.2009 16:40:19
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:53:59
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:54:02
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:04:20
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:57:12
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 21:57:12
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 21:57:12
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 21:57:12
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 21:57:12
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 21:57:12
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 21:57:12
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 21:57:12
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 21:57:12
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 21:57:13
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 21:57:13
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 22:05:57
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 12:17:49
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 12:17:49
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 12:17:49
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 01:01:36
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 01:01:37
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 01:01:40
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 12:22:48
VBASE022.VDF : 7.10.4.50 107520 Bytes 15.02.2010 12:32:43
VBASE023.VDF : 7.10.4.62 105472 Bytes 15.02.2010 12:32:43
VBASE024.VDF : 7.10.4.85 111616 Bytes 17.02.2010 11:14:44
VBASE025.VDF : 7.10.4.86 2048 Bytes 17.02.2010 11:14:44
VBASE026.VDF : 7.10.4.87 2048 Bytes 17.02.2010 11:14:44
VBASE027.VDF : 7.10.4.88 2048 Bytes 17.02.2010 11:14:44
VBASE028.VDF : 7.10.4.89 2048 Bytes 17.02.2010 11:14:44
VBASE029.VDF : 7.10.4.90 2048 Bytes 17.02.2010 11:14:44
VBASE030.VDF : 7.10.4.91 2048 Bytes 17.02.2010 11:14:44
VBASE031.VDF : 7.10.4.104 92160 Bytes 19.02.2010 22:28:34
Engineversion : 8.2.1.172
AEVDF.DLL : 8.1.1.3 106868 Bytes 22.01.2010 21:15:23
AESCRIPT.DLL : 8.1.3.16 827771 Bytes 19.02.2010 22:28:37
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 10:43:52
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 15:54:07
AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 12:22:52
AEPACK.DLL : 8.2.0.8 426357 Bytes 13.02.2010 12:22:51
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 19.02.2010 22:28:36
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 19.02.2010 22:28:36
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 12:55:31
AEGEN.DLL : 8.1.1.87 369013 Bytes 19.02.2010 22:28:34
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 17:17:19
AECORE.DLL : 8.1.11.1 184694 Bytes 05.02.2010 12:17:51
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 20.10.2009 14:32:52
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 22:28:38
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 08.12.2009 16:40:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 20. Februar 2010 19:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41879' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP238\A0063739.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb032db.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP238\A0063740.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a31410c.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064845.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb0330e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064848.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3140df.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Samstag, 20. Februar 2010 20:28
Benötigte Zeit: 1:13:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7721 Verzeichnisse wurden überprüft
277159 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
277153 Dateien ohne Befall
2205 Archive wurden durchsucht
2 Warnungen
5 Hinweise
41879 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Und hier mein HiJackthis-Scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:16, on 20.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1454471165-1637723038-725345543-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Allgemein')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Update Service (gupdate1c993774f502114) (gupdate1c993774f502114) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6297 bytes

Könnt ihr damit was anfangen, ist mein "Rootkit" vielleicht harmlos?? Ihr wäre euch sehr dankbar, wenn ich mir helfen könnt.

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo,
ich habe die Liste befolgt. Die Suche hier aufm Board bringt auch eingige Ergenisse. Aber die helfen mir nicht wirklich weiter, keine "Patentlösung"(außer "System neuaufsetzen")
Ich denke, die gleich Malware kann sich bei jedem wo anders einnisten und jedes System ist anders, also kann man ja schlecht eine Lösung auf alle anwenden, oder?!

Gibt es kein Prog, dass so nen "Rootkit" besser identifizieren kann (ob's wirklich eins is und wo) und auch elemenieren kann??

Könnt ihr denn mit meinen Logfiles nix anfangen, warum soll ich mehrere Logs verlinken, reicht einer nicht aus? Hilft es weiter wenn ich "Gmer"-Scans poste??

Warum postest Du die Logs nicht? :balla:

Zitat:

Zitat von cosinus (Beitrag 505420)

Warum postest Du die Logs nicht? :balla:

Scan gerade...:D
Ist das richtig, dass es reicht, "Services", "Registry" und "Files" zu scannen??

Befolge einfach die Anleitung...

Es wäre leichter, wenn du mir sagst, was aus der Anleitung och fehlt, dass ihr mir helfen könnt...

Hier noch der Gmer-Scan:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2010-02-22 17:02:46
Windows 5.1.2600 Service Pack 3

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DTLight\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x92 0x46 0xB5 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x22 0x11 0x12 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBA 0xBA 0xBE 0x4A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DTLight\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x92 0x46 0xB5 0xC0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x22 0x11 0x12 0xEC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBA 0xBA 0xBE 0x4A ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl (size mismatch) 8192/4096 bytes

---- EOF - GMER 1.0.15 ----

Zitat:

Zitat von NoHacking (Beitrag 505452)

Es wäre leichter, wenn du mir sagst, was aus der Anleitung och fehlt, dass ihr mir helfen könnt...

Ist es so schwierig die Anleitung zu lesen? Die ist extra dafür da, dass ich nicht jedem Hilfesuchenden hier an die Hand nehmen muss :balla:

Oh man, hatte nur die "Regeln" gelesen... Wer "scrollen" ist klar im Vorteil...
OK, dann bin ich ma beschäftig...
Mit den Logs kann man so noch nix anfangen??

Doch, man kann mit den Logs ein wenig was anfangen, aber ich will noch die anderen sehen bevor ich was dazu schreibe.

So, hat alles funktioniert, Anleitung abgearbeitet und "Malwarbytes ist auch "fündig" geworden...
Ich poste die Logs nochmal direkt wenns OK ist, bin bei "File-Upload" noch nicht registriert"...(habs bisher noch nie gebraucht)
----------------------------------------------------------------------------

Malware-Log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3776
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.02.2010 19:02:09
mbam-log-2010-02-22 (19-01-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 210881
Laufzeit: 1 hour(s), 21 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064845.sys.VIR (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064848.sys.VIR (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064851.exe (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064849.exe (Rogue.Security.Tool) -> No action taken.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\system32\getuname.dll.VIR (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.

Und der RSIT-Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by FUJITSU SIEMENS at 2010-02-22 19:09:15
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 12 GB (22%) free of 57 GB
Total RAM: 991 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:18, on 22.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Sicherheit\RSIT\RSIT.exe
C:\Programme\Trend Micro\HijackThis\FUJITSU SIEMENS.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Update Service (gupdate1c993774f502114) (gupdate1c993774f502114) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6137 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2007-08-24 2212224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\bin\jp2ssv.dll [2010-01-29 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll [2010-01-29 79648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe [2002-07-12 106496]
"SiSPower"=SiSPower.dll,ModeAgent []
"SiS Windows KeyHook"=C:\WINDOWS\system32\keyhook.exe [2004-09-02 249856]
"AVMWlanClient"=C:\Programme\avmwlanstick\FRITZWLANMini.exe [2007-02-02 283136]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"NokiaMServer"=C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []
"NokiaMusic FastStart"=C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-07-22 2331936]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2007-08-24 33648]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"=C:\Programme\CCleaner\ccleaner.exe [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2007-08-24 33648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-05-07 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-05-07 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
C:\Programme\Veoh Networks\Veoh\VeohClient.exe /VeohHide []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMCL]
C:\Programme\vodafone\vmclite\DongleEnumerator.exe [2007-06-04 131072]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WHITNEY_S2P]
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe [2006-03-27 229376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Online-Registrierung.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\OLREG.URL [2008-04-03 190]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PalTalk.lnk]
C:\PROGRA~1\PALTAL~1\paltalk.exe nas []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD deinstallieren.lnk]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll [2001-09-05 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD-Hilfe.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\PowerDVD.CHM [2002-12-04 268907]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\PowerDVD.exe [2002-12-17 397312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Readme.lnk]
C:\WINDOWS\NOTEPAD.EXE [2008-04-14 70144]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Systemdiagnose.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\CLDMA.exe [2002-03-07 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3
"WMPNetworkSvc"=3
"ose"=3
"odserv"=3
"usnjsvc"=3
"Themes"=2
"Apple Mobile Device"=2

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2007-08-24 2212224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"
"C:\Programme\Paltalk Messenger\paltalk.exe"="C:\Programme\Paltalk Messenger\paltalk.exe:*:Enabled:PaltalkScene"
"C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Desktop\msnmsgr.exe"="C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Desktop\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\QuickTime\QuickTimePlayer.exe"="C:\Programme\QuickTime\QuickTimePlayer.exe:*:Enabled:QuickTime Player"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe"="C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81d377a3-0031-11dd-b16b-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81d377a4-0031-11dd-b16b-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{926da041-f9bf-11dc-b151-806d6172696f}]
shell\AutoRun\command - D:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{957d513c-0143-11dd-b16d-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{957d513d-0143-11dd-b16d-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adf00a2c-c9df-11dd-b2cc-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1591594-0238-11dd-b174-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1591595-0238-11dd-b174-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d049bc30-a76d-11dd-b27f-00030d28ee8f}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d049bc33-a76d-11dd-b27f-00030d28ee8f}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df77a1dd-1891-11de-b397-001f3f02d595}]
shell\AutoRun\command - E:\setupSNK.exe

======List of files/folders created in the last 1 months======

2010-02-22 17:37:10 ----D---- C:\rsit
2010-02-22 17:29:26 ----D---- C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Malwarebytes
2010-02-22 17:29:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-20 22:40:52 ----D---- C:\Programme\Trend Micro
2010-02-19 23:17:11 ----D---- C:\Programme\Security
2010-02-10 14:14:44 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-10 14:14:31 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-10 14:11:29 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-10 14:11:22 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-10 14:11:08 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-10 14:10:57 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-10 14:09:40 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-10 14:09:24 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-10 14:09:05 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\javaws.exe
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\javaw.exe
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\java.exe
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\deploytk.dll
2010-01-29 10:56:48 ----D---- C:\Programme\QuickTime
2010-01-26 23:01:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations

======List of files/folders modified in the last 1 months======

2010-02-22 19:06:53 ----D---- C:\WINDOWS\Prefetch
2010-02-22 19:06:15 ----D---- C:\WINDOWS
2010-02-22 19:06:13 ----D---- C:\WINDOWS\Temp
2010-02-22 19:05:52 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-22 19:04:53 ----D---- C:\WINDOWS\system32\drivers
2010-02-22 19:04:07 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-02-22 19:03:20 ----D---- C:\WINDOWS\fsc
2010-02-22 19:02:31 ----D---- C:\WINDOWS\system32
2010-02-22 17:36:19 ----D---- C:\Programme\Sicherheit
2010-02-20 22:40:52 ----RD---- C:\Programme
2010-02-20 19:11:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-20 15:43:13 ----D---- C:\WINDOWS\Debug
2010-02-20 15:43:03 ----D---- C:\WINDOWS\Minidump
2010-02-20 00:34:16 ----SHD---- C:\RECYCLER
2010-02-20 00:26:43 ----SHD---- C:\WINDOWS\Installer
2010-02-20 00:26:16 ----D---- C:\Dokumente und Einstellungen
2010-02-20 00:02:28 ----D---- C:\Programme\Messenger
2010-02-19 23:27:38 ----SD---- C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Microsoft
2010-02-19 23:20:25 ----D---- C:\WINDOWS\system32\config
2010-02-19 23:18:55 ----D---- C:\WINDOWS\system32\wbem
2010-02-19 23:18:52 ----D---- C:\WINDOWS\Registration
2010-02-19 23:18:04 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-19 22:19:29 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-02-19 20:35:25 ----A---- C:\WINDOWS\win.ini
2010-02-19 20:35:25 ----A---- C:\WINDOWS\system.ini
2010-02-11 15:27:45 ----HD---- C:\WINDOWS\inf
2010-02-10 14:14:44 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-10 14:10:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-08 03:37:15 ----D---- C:\Programme\Google
2010-02-01 20:26:20 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-01 11:49:48 ----D---- C:\WINDOWS\WinSxS
2010-01-29 11:02:19 ----D---- C:\Programme\Java
2010-01-29 10:55:37 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2010-01-29 10:53:48 ----D---- C:\Programme\Player
2010-01-29 10:38:36 ----D---- C:\Programme\Mozilla Firefox
2010-01-26 23:28:49 ----D---- C:\Programme\Nokia
2010-01-26 12:21:32 ----RSD---- C:\WINDOWS\assembly
2010-01-26 02:53:07 ----RSD---- C:\WINDOWS\Fonts
2010-01-26 02:53:00 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-26 02:52:20 ----D---- C:\Programme\Microsoft Works

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2003-11-07 38400]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 SiSkp;SiSkp; C:\WINDOWS\system32\DRIVERS\srvkp.sys [2004-09-02 12928]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-08-28 271360]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-08-28 18048]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 CONAN;CONAN; C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 191092]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 MbxStby;MbxStby; C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 6100]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys [2004-04-19 230656]
R3 SiS315;SiS315; C:\WINDOWS\system32\DRIVERS\sisgrp.sys [2004-09-03 229888]
R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS\system32\DRIVERS\sisnic.sys [2004-08-03 32768]
R3 Slntamr;SmartLink AMR_PCI Driver; C:\WINDOWS\system32\DRIVERS\slntamr.sys [2004-04-19 635152]
R3 SlWdmSup;SlWdmSup; C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys [2004-04-19 13312]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-05-07 182688]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 VIAudio;Vinyl AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\vinyl97.sys [2004-07-23 159488]
S2 DgiVecp;DgiVecp; \??\C:\WINDOWS\system32\Drivers\DgiVecp.sys []
S2 SSPORT;SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 a87r3br9;a87r3br9; C:\WINDOWS\system32\drivers\a87r3br9.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2007-01-26 4352]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 esihdrv;esihdrv; \??\C:\DOKUME~1\FUJITS~1\LOKALE~1\Temp\esihdrv.sys []
S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-01-26 265088]
S3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys []
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 Mtlstrm;Mtlstrm; C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys [2004-04-19 1301488]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 NtMtlFax;NtMtlFax; C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys [2004-04-19 180664]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 PRISM_A00;PRISM 802.11 Driver; C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-07-20 393280]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SlNtHal;SlNtHal; C:\WINDOWS\system32\DRIVERS\Slnthal.sys [2004-04-19 95760]
S3 SoC PC-Camera Service;SoC PC-Camera; C:\WINDOWS\system32\DRIVERS\pfc027.sys [2004-03-24 138396]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-13 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-10-20 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\bin\jqs.exe [2010-01-29 153376]
R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2004-04-19 45056]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 gupdate1c993774f502114;Google Update Service (gupdate1c993774f502114); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-20 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2007-08-24 68464]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service; C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [2008-12-11 98488]
S3 ServiceLayer;ServiceLayer; C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-06-02 637952]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------

Danke für deine Mühe Arne!!:daumenhoc

Weiß nicht, obs wichtig ist, aber das Zeug hab ich mir alles als "Administrator" surfend eingefangen. Mittlerweile tu ich das nicht mehr...

Ja, mit Adminrechten sollte man am besten garnicht surfen und auch am besten nicht mit dem IE :rolleyes:

Zitat:

C:\WINDOWS\system32\Drivers\DgiVecp.sys
C:\WINDOWS\system32\Drivers\SSPORT.sys
C:\WINDOWS\system32\drivers\a87r3br9.sys
C:\Dokumente und Einststellungen\FUJITSU SIEMENS\Lokale Einstellungen\Temp\esihdrv.sys

Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Danach bitte - wegen der Rootkitfunde - auch ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Wow, ok!
Hier schon mal die Links (wusste jetzt nicht, welchen die URL nachm hochladen, oder den "Permalink"??) Hier mal ersteres:

(in der gleichen Reihenfolge)

http://www.virustotal.com/de/reanalisis.html?266f7bca224b223b60a3c7f15be59e3cc83b16be4089fb2cd4d801d564a38fee-1266868273

"C:\WINDOWS\system32\Drivers\SSPORT.sys" ->>> nicht gefunden! (trotz "sichbar machen..."

"C:\WINDOWS\system32\drivers\a87r3br9.sys" ->>> auch nicht gefunden!

"C:\Dokumente und Einststellungen\FUJITSU SIEMENS\Lokale Einstellungen\Temp\esihdrv.sys"->>> nicht gefunden!

So dann mach ich jetzt den ComboFix-Zeug

So, fertig:
Combofix-Logfile:

ComboFix 10-02-21.02 - FUJITSU SIEMENS 22.02.2010 21:33:47.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\FUJITSU SIEMENS\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\recycler\S-1-5-21-1454471165-1637723038-725345543-500
c:\windows\system32\setup.ini

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-22 bis 2010-02-22 ))))))))))))))))))))))))))))))
.

2010-02-22 16:37 . 2010-02-22 18:09 -------- d-----w- C:\rsit
2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Malwarebytes
2010-02-22 16:29 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-22 16:29 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-20 21:40 . 2010-02-20 21:40 -------- d-----w- c:\programme\Trend Micro
2010-02-20 12:28 . 2010-01-25 09:02 349552 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe
2010-02-20 12:28 . 2010-01-25 09:02 31936 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2010-02-20 12:28 . 2010-01-25 09:02 67360 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper.dll
2010-02-20 12:28 . 2010-01-25 09:02 29344 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2010-02-20 12:23 . 2010-02-20 12:23 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-02-19 23:27 . 2010-02-19 23:27 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Nokia
2010-02-19 22:18 . 2010-02-19 22:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-19 22:17 . 2010-02-19 22:17 -------- d-----w- c:\programme\Security
2010-02-19 19:31 . 2010-02-19 19:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-02-19 19:30 . 2010-02-19 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-02-19 19:10 . 2010-02-19 19:10 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-02-19 19:08 . 2010-02-22 20:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-02-19 19:08 . 2010-02-19 22:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-s---w- c:\dokumente und einstellungen\Administrator
2010-01-29 10:02 . 2010-01-29 10:02 348160 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcr71.dll
2010-01-29 10:02 . 2010-01-29 10:02 503808 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcp71.dll
2010-01-29 10:02 . 2010-01-29 10:02 499712 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\jmc.dll
2010-01-29 10:02 . 2010-01-29 10:02 61440 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-sse.dll
2010-01-29 10:02 . 2010-01-29 10:02 12800 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-d3d.dll
2010-01-29 10:02 . 2010-01-29 10:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-29 10:01 . 2010-01-29 10:01 79488 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\jre1.6.0_18\gtapi.dll
2010-01-29 09:56 . 2010-01-29 09:57 -------- d-----w- c:\programme\QuickTime
2010-01-27 09:41 . 2010-01-27 09:41 -------- d-----r- c:\dokumente und einstellungen\FUJITSU SIEMENS\Favoriten
2010-01-26 22:02 . 2010-01-26 22:01 24437624 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_de.exe
2010-01-26 22:01 . 2010-01-26 22:01 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe
2010-01-26 22:01 . 2010-01-26 22:01 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe
2010-01-26 22:01 . 2010-01-26 22:01 3203453 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe
2010-01-26 22:01 . 2010-01-26 22:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 16:36 . 2009-10-11 22:51 -------- d-----w- c:\programme\Sicherheit
2010-02-20 18:11 . 2009-12-02 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-19 18:56 . 2010-02-19 18:55 20 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat
2010-02-10 13:10 . 2008-06-16 15:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-08 02:37 . 2009-02-20 16:05 -------- d-----w- c:\programme\Google
2010-01-29 10:02 . 2008-03-24 16:46 -------- d-----w- c:\programme\Java
2010-01-29 09:55 . 2008-06-03 08:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-01-29 09:53 . 2009-04-27 21:29 -------- d-----w- c:\programme\Player
2010-01-26 22:29 . 2008-03-24 17:15 73936 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-26 22:28 . 2009-10-22 15:20 -------- d-----w- c:\programme\Nokia
2010-01-26 01:52 . 2008-07-27 20:34 -------- d-----w- c:\programme\Microsoft Works
2010-01-14 19:43 . 2004-08-04 12:00 89124 ----a-w- c:\windows\system32\perfc007.dat
2010-01-14 19:43 . 2004-08-04 12:00 471232 ----a-w- c:\windows\system32\perfh007.dat
2010-01-12 16:22 . 2010-01-12 16:22 73936 ----a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 09:52 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:52 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:52 . 2004-08-04 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-25 13:10 . 2009-12-25 13:10 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\PTV AG
2009-12-25 13:08 . 2008-03-24 16:56 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\GIS
2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\mapserv
2009-12-25 12:45 . 2009-12-25 12:44 -------- d-----w- c:\programme\Tourenplaner
2009-12-18 14:37 . 2004-08-04 12:00 24064 ----a-w- c:\windows\system32\ctfmon.exe
2009-12-17 07:40 . 2008-03-24 16:38 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:06 . 2004-08-04 12:00 2191488 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:06 . 2004-08-04 00:50 2068352 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 16:40 . 2009-07-21 15:43 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:11 . 2004-08-04 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:11 . 2004-08-04 00:57 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2004-08-04 00:57 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-02-20 16:17 . 2009-02-20 16:17 359656 ----a-w- c:\programme\InstallerCleanUp.exe
2009-02-20 16:10 . 2009-02-20 16:10 512600 ----a-w- c:\programme\GoogleEarthWin.exe
2009-02-20 16:04 . 2009-02-20 16:04 1046648 ----a-w- c:\programme\Google Updater.exe
.

------- Sigcheck -------

[-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SiSPower"="SiSPower.dll" [2004-09-02 49152]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2004-09-02 249856]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NokiaMusic FastStart"="c:\programme\Nokia\Nokia Music\NokiaMusic.exe" [2009-07-22 2331936]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-12-18 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-3-24 331776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Online-Registrierung.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Online-Registrierung.lnk
backup=c:\windows\pss\Online-Registrierung.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PalTalk.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PalTalk.lnk
backup=c:\windows\pss\PalTalk.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD deinstallieren.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD deinstallieren.lnk
backup=c:\windows\pss\PowerDVD deinstallieren.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD-Hilfe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD-Hilfe.lnk
backup=c:\windows\pss\PowerDVD-Hilfe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD.lnk
backup=c:\windows\pss\PowerDVD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Readme.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Readme.lnk
backup=c:\windows\pss\Readme.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Systemdiagnose.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Systemdiagnose.lnk
backup=c:\windows\pss\Systemdiagnose.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 05:00 33648 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-05-07 09:49 536576 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-05-07 09:49 98304 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMCL]
2007-06-04 13:00 131072 ----a-w- c:\programme\Vodafone\VMCLite\DongleEnumerator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WHITNEY_S2P]
2006-03-27 06:35 229376 ----a-w- c:\programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"usnjsvc"=3 (0x3)
"Themes"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP2\\RpcAgentSrv.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2009 16:43 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [24.03.2008 18:05 191092]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.02.2009 13:44 265088]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [24.03.2008 18:05 6100]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.07.2009 18:48 721904]
S2 gupdate1c993774f502114;Google Update Service (gupdate1c993774f502114);c:\programme\Google\Update\GoogleUpdate.exe [20.02.2009 17:21 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\programme\Lavasoft\Ad-Aware\AAWService.exe" --> c:\programme\Lavasoft\Ad-Aware\AAWService.exe [?]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [01.02.2009 13:45 4352]
S3 esihdrv;esihdrv;\??\c:\dokume~1\FUJITS~1\LOKALE~1\Temp\esihdrv.sys --> c:\dokume~1\FUJITS~1\LOKALE~1\Temp\esihdrv.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [22.10.2009 16:20 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [22.10.2009 16:20 8320]
S3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [20.07.2004 20:16 393280]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [24.01.2009 22:35 98488]
.
Inhalt des "geplante Tasks" Ordners

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21]

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mWindow Title =
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Mozilla\Firefox\Profiles\bhy0306t.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\Java\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
pref(dom.disable_open_during_load, true);c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-MsnMsgr - c:\programme\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-Veoh - c:\programme\Veoh Networks\Veoh\VeohClient.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-22 21:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\system.ini 227 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2010-02-22 21:40:41
ComboFix-quarantined-files.txt 2010-02-22 20:40

Vor Suchlauf: 11 Verzeichnis(se), 12.852.461.568 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 12.903.972.864 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /maxmem=992

- - End Of File - - E8D77E5918D9ADD31CF7E36A99B5F2F5

Zitat:

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat

Nochmal Futter für Virustotal ;)
Bitte wieder den Ergebnislink posten. Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

http://www.trojaner-board.de/83140-ist-tr-rootkit-gen-ein-rootkit-oder-nicht.html
 

Collect::

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat
 

Driver::

SSPORT

esihdrv

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Erster Teil:
"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat" :

http://www.virustotal.com/de/analisis/decd8f885000910ab05ca3b81dc28e7b00f5f8d150aad87f9f7439ffed8341ee-1266872459

Wenn ich die "CFScript.txt" aufs Combofix ziehe, startet dieser zwar, bringt aber die Meldung, dass der "Realtime-Scanner" von Antivir noch läuft, is aber deaktiviert.
Seit dem ersten Combofix-Run ist das Symbol in der Desktop-leiste (unten rechts) auch verschwunden, normal is ja eins da mit Regenschirm auf, oder zu...
Ich weiß nicht was noch aktiv sein soll. Über strg+alt+entf. läuft noch die avguard.exe, die lässt sich aber nicht beenden "Zugriff verweigert" (trotz admin.-anmeldung)
Combofix warnt davor mit av-guard zusammen zu laufen...was soll ich tun??

Hattest Du zwischendurch mal neu gestartet? Wenn nciht mach das mal.
Beim Scripten mit CF solltest Du den Regenschirm dann schließen, dann sollte es auch trotz Warnung ok sein, hatte ich hier schon öfter...

So, Combofix-Script-Logfile:

ComboFix 10-02-21.02 - FUJITSU SIEMENS 22.02.2010 22:30:08.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.991.670 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\FUJITSU SIEMENS\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\FUJITSU SIEMENS\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

file zipped: c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ESIHDRV
-------\Service_esihdrv
-------\Service_SSPORT

((((((((((((((((((((((( Dateien erstellt von 2010-01-22 bis 2010-02-22 ))))))))))))))))))))))))))))))
.

2010-02-22 16:37 . 2010-02-22 18:09 -------- d-----w- C:\rsit
2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Malwarebytes
2010-02-22 16:29 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-22 16:29 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-20 21:40 . 2010-02-20 21:40 -------- d-----w- c:\programme\Trend Micro
2010-02-20 12:23 . 2010-02-20 12:23 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-02-19 23:27 . 2010-02-19 23:27 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Nokia
2010-02-19 22:18 . 2010-02-19 22:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-19 22:17 . 2010-02-19 22:17 -------- d-----w- c:\programme\Security
2010-02-19 19:31 . 2010-02-19 19:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-02-19 19:30 . 2010-02-19 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-02-19 19:10 . 2010-02-19 19:10 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-02-19 19:08 . 2010-02-22 20:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-02-19 19:08 . 2010-02-19 22:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-s---w- c:\dokumente und einstellungen\Administrator
2010-01-29 10:02 . 2010-01-29 10:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-29 09:56 . 2010-01-29 09:57 -------- d-----w- c:\programme\QuickTime
2010-01-27 09:41 . 2010-01-27 09:41 -------- d-----r- c:\dokumente und einstellungen\FUJITSU SIEMENS\Favoriten
2010-01-26 22:01 . 2010-01-26 22:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 16:36 . 2009-10-11 22:51 -------- d-----w- c:\programme\Sicherheit
2010-02-20 18:11 . 2009-12-02 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-10 13:10 . 2008-06-16 15:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-08 02:37 . 2009-02-20 16:05 -------- d-----w- c:\programme\Google
2010-01-29 10:02 . 2010-01-29 10:02 348160 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcr71.dll
2010-01-29 10:02 . 2010-01-29 10:02 503808 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcp71.dll
2010-01-29 10:02 . 2010-01-29 10:02 499712 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\jmc.dll
2010-01-29 10:02 . 2010-01-29 10:02 61440 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-sse.dll
2010-01-29 10:02 . 2010-01-29 10:02 12800 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-d3d.dll
2010-01-29 10:02 . 2008-03-24 16:46 -------- d-----w- c:\programme\Java
2010-01-29 10:01 . 2010-01-29 10:01 79488 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\jre1.6.0_18\gtapi.dll
2010-01-29 09:55 . 2008-06-03 08:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-01-29 09:53 . 2009-04-27 21:29 -------- d-----w- c:\programme\Player
2010-01-26 22:29 . 2008-03-24 17:15 73936 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-26 22:28 . 2009-10-22 15:20 -------- d-----w- c:\programme\Nokia
2010-01-26 22:01 . 2010-01-26 22:01 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe
2010-01-26 22:01 . 2010-01-26 22:01 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe
2010-01-26 22:01 . 2010-01-26 22:01 3203453 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe
2010-01-26 22:01 . 2010-01-26 22:02 24437624 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_de.exe
2010-01-26 01:52 . 2008-07-27 20:34 -------- d-----w- c:\programme\Microsoft Works
2010-01-25 09:02 . 2010-02-20 12:28 349552 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe
2010-01-25 09:02 . 2010-02-20 12:28 31936 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2010-01-25 09:02 . 2010-02-20 12:28 67360 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper.dll
2010-01-25 09:02 . 2010-02-20 12:28 29344 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2010-01-14 19:43 . 2004-08-04 12:00 89124 ----a-w- c:\windows\system32\perfc007.dat
2010-01-14 19:43 . 2004-08-04 12:00 471232 ----a-w- c:\windows\system32\perfh007.dat
2010-01-12 16:22 . 2010-01-12 16:22 73936 ----a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 09:52 . 2004-08-04 12:00 832512 ------w- c:\windows\system32\wininet.dll
2010-01-05 09:52 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:52 . 2004-08-04 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-25 13:10 . 2009-12-25 13:10 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\PTV AG
2009-12-25 13:08 . 2008-03-24 16:56 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\GIS
2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\mapserv
2009-12-25 12:45 . 2009-12-25 12:44 -------- d-----w- c:\programme\Tourenplaner
2009-12-18 14:37 . 2004-08-04 12:00 24064 ----a-w- c:\windows\system32\ctfmon.exe
2009-12-17 07:40 . 2008-03-24 16:38 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:06 . 2004-08-04 12:00 2191488 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:06 . 2004-08-04 00:50 2068352 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 16:40 . 2009-07-21 15:43 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:11 . 2004-08-04 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:11 . 2004-08-04 00:57 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2004-08-04 00:57 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-02-20 16:17 . 2009-02-20 16:17 359656 ----a-w- c:\programme\InstallerCleanUp.exe
2009-02-20 16:10 . 2009-02-20 16:10 512600 ----a-w- c:\programme\GoogleEarthWin.exe
2009-02-20 16:04 . 2009-02-20 16:04 1046648 ----a-w- c:\programme\Google Updater.exe
.

------- Sigcheck -------

[-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SiSPower"="SiSPower.dll" [2004-09-02 49152]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2004-09-02 249856]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NokiaMusic FastStart"="c:\programme\Nokia\Nokia Music\NokiaMusic.exe" [2009-07-22 2331936]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-12-18 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-3-24 331776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Online-Registrierung.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Online-Registrierung.lnk
backup=c:\windows\pss\Online-Registrierung.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PalTalk.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PalTalk.lnk
backup=c:\windows\pss\PalTalk.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD deinstallieren.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD deinstallieren.lnk
backup=c:\windows\pss\PowerDVD deinstallieren.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD-Hilfe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD-Hilfe.lnk
backup=c:\windows\pss\PowerDVD-Hilfe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD.lnk
backup=c:\windows\pss\PowerDVD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Readme.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Readme.lnk
backup=c:\windows\pss\Readme.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Systemdiagnose.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Systemdiagnose.lnk
backup=c:\windows\pss\Systemdiagnose.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 05:00 33648 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-05-07 09:49 536576 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-05-07 09:49 98304 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMCL]
2007-06-04 13:00 131072 ----a-w- c:\programme\Vodafone\VMCLite\DongleEnumerator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WHITNEY_S2P]
2006-03-27 06:35 229376 ----a-w- c:\programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"usnjsvc"=3 (0x3)
"Themes"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP2\\RpcAgentSrv.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.07.2009 18:48 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2009 16:43 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [24.03.2008 18:05 191092]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.02.2009 13:44 265088]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [24.03.2008 18:05 6100]
S2 gupdate1c993774f502114;Google Update Service (gupdate1c993774f502114);c:\programme\Google\Update\GoogleUpdate.exe [20.02.2009 17:21 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\programme\Lavasoft\Ad-Aware\AAWService.exe" --> c:\programme\Lavasoft\Ad-Aware\AAWService.exe [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [01.02.2009 13:45 4352]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [22.10.2009 16:20 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [22.10.2009 16:20 8320]
S3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [20.07.2004 20:16 393280]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [24.01.2009 22:35 98488]
.
Inhalt des "geplante Tasks" Ordners

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21]

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mWindow Title =
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Mozilla\Firefox\Profiles\bhy0306t.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\Java\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
pref(dom.disable_open_during_load, true);c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-22 22:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sphu.sys >>UNKNOWN [0x85F8D938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7506f28
\Driver\ACPI -> ACPI.sys @ 0xf725fcb8
\Driver\atapi -> atapi.sys @ 0xf71fcb40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: AVM FRITZ!WLAN USB Stick v1.1 -> SendCompleteHandler -> NDIS.sys @ 0xf70f2bb0
PacketIndicateHandler -> NDIS.sys @ 0xf70ffa21
SendHandler -> NDIS.sys @ 0xf70dd87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3992)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Rundll32.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-22 22:45:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-22 21:45
ComboFix2.txt 2010-02-22 20:40

Vor Suchlauf: 12 Verzeichnis(se), 12.967.428.096 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 12.845.637.632 Bytes frei

- - End Of File - - 4430921D818FF89909205C753DB918C4

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

OK, mach ich, aber erst morgen...
Danke erstmal!

Mahlzeit!!!

Nix mehr gefunden, kann ich schon feiern gehn??;)

Malwarebytes-Logilfe (nach Update):

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3779
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

23.02.2010 12:26:54
mbam-log-2010-02-23 (12-26-54).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 211005
Laufzeit: 54 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Schön, wenn dann keine weiteren Probleme mehr sind, bitte die Updates prüfen, dann sollten wir eigentlich durch sein. :)

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Erstmal vielen, vielen Dank für deine Mühe!!!:daumenhoc Und Sorry, dass ich mich so sngestellt hab, bin da nicht so versiert in den Sachen.

Hätte da noch paar Fragen:

- Ist's OK, wenn ich die MS Windows (XP)-Updates "automatisch" (übers "Sicherheitcenter") laufen lasse?? Oder manuell? Warum über IE, nicht über Firefox??

- Über die "Add-ons" im Firefox kann ich Java und Adobe glaub immer aktuellisieren, oder?? "Automisches Update" (generell für die Add-ons) einstellen??

- Wo kann ich mich kompakt darüber informieren, welche Add-ons sinnvoll??

- Ich habe Antivir (Freeware) als Virenschutz, außerdem CCleaner, Spy-Bot Search&Destroy, neu den Malwarebytes und Combofix und als "Systemoptimierung" XP-Antispy".
Was davon ist überflüssig, bzw. was macht Sinn und sollte ich regelmäßig anwenden??

Zitat:

Ist's OK, wenn ich die MS Windows (XP)-Updates "automatisch" (übers "Sicherheitcenter") laufen lasse?? Oder manuell? Warum über IE, nicht über Firefox??

Ja das ist an sich ok. Du solltest jetzt aber mal die Updates manuell einspielen. Mit dem IE deswegen, weil die MS-Seite für Updates ActiveX erfordert und das bekanntlich nur mit dem IE geht.

Zitat:

Über die "Add-ons" im Firefox kann ich Java und Adobe glaub immer aktuellisieren, oder?? "Automisches Update" (generell für die Add-ons) einstellen?

Java (JRE) und der AdobeReader werden mW nicht über den Firefox aktuell gehalten. Da musst Du schon manuell nachschauen. Normalerweise melden sich Java und der AdobeReader aber. Und die Updateprüfung für die Erweiterung solltest Du auf jeden Fall aktiviert lassen.

Zitat:

Wo kann ich mich kompakt darüber informieren, welche Add-ons sinnvoll??

Welche Erweiterungen so sinnvoll sind, hängt auch vom Benutzer ab. So kann ich erstmal diese drei immer empfehlen: NoScript, Adblock Plus und Tabkit (das geht bislang nur mit FF 3.5.x :( )

Zitat:

Was davon ist überflüssig, bzw. was macht Sinn und sollte ich regelmäßig anwenden??

Spybot und AntiSpy halte ich für überflüssig. Combofix und Malwarebytes kanns Du löschen, die Programme stören aber nicht, weil sie nur ausgeführt werden, wenn Du sie startest.

Mein Firefox ist 3.6
Ich hab folegende Erweiterungen:

- Java Console 6.0.18
- Java Quick Starter 1.0
- Microsoft.Net Framework Assistant 1.1

Plugins:

- 2007 Microsoft Office System (for Netscape Navigator) HÄ???
- Adobe Acrobat 8.1.0.137
- Java Deplayment Toolkit
- Java Platform SE 6 U18
- Microsoft DRM
- Mozilla Default Plugin
- Quicktie Plug-in
- Shockwave Flash
- Windows Media Player Plugin Dynamic Link Library

Malwarebytes ist überflüssig?? Und Antivir erwischt die Rootkits und so??

Zitat:

Ich hab folegende Erweiterungen:

Das sind Erweiterungen und Plugins, die automatisch reinkommen, wenn Du die korrespondierenden Programme installierst. Das Office-Plugin kommt wahrscheinlich durch eine Vorinstallation der 60-Tage.Testversion von Office 2007. :balla:

Zitat:

Malwarebytes ist überflüssig?? Und Antivir erwischt die Rootkits und so??

Hab ich so nicht gesagt, dass MBAM überflüssig sei. Es stört nur nicht (da kein Hintergrundwächter) aber wenn Du es nicht willst, dann deinstallier es.
AntiVir hat ein ein Rootkiterkennungsmodul, verlass Dich aber nicht auf den Virenscanner. Trotz aktivem Virenscanner sollte man immer sein Hirn einschalten und mit eingeschränkten Rechten surfen :rolleyes:

Ich glaub den IE hab ich mal runtergeschmissen. Brauche ich den öfters, sollte ich den drauf lassen??

Häh, den IE? :confused:
Den kannst Du so garnicht (komplett) deinstallieren, da der IE eine Systemkomponente ist und von Windows intern verwendet wird.

OK, *ähem*, dann hab ich wohl nur die Verknüpfungen und so gelöscht, wo finde ich denn wieder??

Neue Verknüpfung => iexplore.exe ;)

So, hab glaub alles fertig, was du mir empfohlen hast.

Gibts irg.wo ne Anleitung wie ich NoScript und Adblock einstelle??

Kann ich Tabkit im FF 3.6 vergessen?

Tabkit gibts noch nicht für FF3.6 - musste abwarten, auf Tabkit verzichten oder auf FF 3.5.x downgraden (hab ich gemacht, weil ich Tabkit brauche)

Adblock brauchst Du nur nen Filter zu abonnieren (kommt am Anfang, ich nehm den von Dr. Evil)
NoScript brauchst Du auch nichts einstellen, nur eben vertrauenswürdige Seiten musst Du erlauben falls JS unbedingt notwendig ist (siehe das blaue S rechts unten im FF)

OK, noch das Problem:
Die Add-ons unter anderem Windows-Benutzer sind wieder anders. Hab die im Admin. alle hübsch gemacht und im eingeschränkten Benutzerkonto is alles wie davor! *grummel* Und ich kann da ja nix installieren...

Ja... :rolleyes: das ist völlig normal, weil die Erweiterungen ins Benutzerprofil installiert werden :D

Du kannst also das gleiche nochmal für Deinen Benutzer machen ;)

Aber im eingeschränkten Benutzerprofil kann ich doch nix installieren!!

Das ist richtig. Aber das bezieht sich nicht auf Erweiterungen im Firefox. Die sind benutzerabhängig und die kann sich auch der benutzer installieren, da die im Benutzerprofil des FF landen. Deswegen hat bei Dir ja auch im Moment nur der Admin die Erweiterungen, Dein Benutzerkonto aber noch keine.

So, jetzt ist alles paletti! Hab festgestellt, ich kann einem "eingeschränkten Benutzer" ja auch kurzfristig Admin.-Rechte verpassen, das Zeug installieren, was ich brauch, dann wieder einschränken...
Mit den Erweiterungen hattes du Recht, geht auch eingeschränkt. Bei den Plugins allerdings nicht (zumindest beim Flashplayer).

Vielen Dank nochmal, hast mir sehr weitergeholfen.

Zitat:

ich kann einem "eingeschränkten Benutzer" ja auch kurzfristig Admin.-Rechte verpassen, das Zeug installieren,

Das brauchst Du bei Erweiterungen für den FF nicht!
Nochmal: Die Erweiterungen werden ins Benutzerprofil installiert, jeder Benutzer hat auf sein persönlches Profil logischerweise Schreibrechte, sonst würde ja garnix funktionieren und deswegen kannst Du darin auch ohne Adminrechte Erweiterungen installieren...

Zitat:

Bei den Plugins allerdings nicht (zumindest beim Flashplayer)

Die werden nicht ins Benutzerprofil sondern ins Firefox-Verzeichnis installiert. Da hat standardmäßig ein Benutzer nur Leserechte. Hätte ein Benutzer darin auch Schreibrechte, könnte man auch mit eingeschränkten Rechten Plugins installieren, aber das ist weniger sinnvoll, schließlich will man ja mit eingeschränkten Rechten möglichst alle Manipulationen durch reine Leserechte verhindern.

Hallo Cosinus!

Hab leider wieder Probleme!
Diesmal einen "TR/Trash.Gen"

Antivir Malwarefund:
Die Datei 'C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0066093.exe.VIR'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 4bc21365.qua erstellt ( QUARANTÄNE ).

Vorab:
- Soll ich dafür nen neuen Thread aufmachen??( Vorteil hier: Du weißt schon, was ich beim letzten Mal gemacht hab, um keine Probleme mehr zu bekommen->> Anleitungen (die du mir empfohlen hast) befolgt, Updates(Windows, Adobe Reader, Java), Änderungen: NoScript, Adblock und "eingeschränktes Benutzerkonto"!!)
- Was für Logs/Scans soll ich posten?

Zitat:

Zitat von NoHacking (Beitrag 507758)

EDIT: Hab gelesen, es kann vielleicht auch an der Systemwiederherstellung liegen... Hab sie mal deaktiviert, PC neugestartet, wieder aktiviert und wieder Neustart, jetzt werde ich Antivir nochmal scannen lassen, obs den TR/Trash.Gen noch muniert...