Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Redirect von Suchmaschinen-Ergebnissen (https://www.trojaner-board.de/90389-redirect-suchmaschinen-ergebnissen.html)

Hansemann520 04.09.2010 14:44
Redirect von Suchmaschinen-Ergebnissen
 
Hallo zusammen,

ich habe folgendes Problem: Suchmaschinen-Ergebnisse (Google wie auch Yahoo) werden grundsätzlich auf eine Seite "154click.info" redirected. Das Ganze passiert sowohl unter Firefox 3.6.8 wie auch im Internet Explorer 6.0.2900. Ich habe mich nun einige Stunden als Gastleser hier im Board umgeschaut, aber keinerlei Lösungen gefunden, zumal ich diverse Malware-Killer habe laufen lassen. Hitnergrund: Anfang der Woche habe ich erfolgreich eine Malware entfernt (sog. Scareware, die mit Antivirlock zusammenhing). Das Suchmaschinenproblem besteht aber immer noch (schon wieder?). Zweites Problem: Es ist nicht mein eigener Rechner, sondern der meines Schwagers, und den Familienbesuch werden wir heute beenden, d.h. ab morgen müsste ich das per "Fernwartung" beheben lassen.

Nun aber erstmal die ersten Logfiles entsprechend der Anleitung.

HJT:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:26:18, on 04.09.2010
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe
C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
P:\rootkit\HiJackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.3dconnexion.com/checkupdates
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{15CB6312-7F79-439D-8AAA-2FA672622CCD}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{15CB6312-7F79-439D-8AAA-2FA672622CCD}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{15CB6312-7F79-439D-8AAA-2FA672622CCD}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9cda9bd59d81e) (gupdate1c9cda9bd59d81e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
 
--
End of file - 9042 bytes
--- --- ---

MBAM:

Malwarebytes' Anti-Malware 1.46
***.malwarebytes.org

Datenbank Version: 4541

Windows 5.1.2600 Service Pack 3, v.3264
Internet Explorer 6.0.2900.3264

04.09.2010 15:09:45
mbam-log-2010-09-04 (15-09-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167951
Laufzeit: 6 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Defrogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:12 on 04/09/2010 (XXX)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

OTL.txt

Hinweis: Da ich die OTL.txt nicht per C&P hier hereinbekomme (Text wird zu lang) und die txt-Datei zu groß ist, werde ich sie als Antwort auf das Thema hier direkt posten.

Extras.txt:OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 04.09.2010 14:43:32 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\XXX\Desktop\Analyse
Windows XP Professional Edition Service Pack 3, v.3264 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.3264)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 53,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1920 3840 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 195,31 Gb Total Space | 157,76 Gb Free Space | 80,78% Space Free | Partition Type: NTFS
Drive D: | 17,58 Gb Total Space | 0,48 Gb Free Space | 2,71% Space Free | Partition Type: NTFS
Drive E: | 19,53 Gb Total Space | 3,04 Gb Free Space | 15,58% Space Free | Partition Type: NTFS
Drive F: | 63,48 Gb Total Space | 32,40 Gb Free Space | 51,04% Space Free | Partition Type: NTFS
Drive G: | 270,45 Gb Total Space | 265,89 Gb Free Space | 98,32% Space Free | Partition Type: NTFS
Drive H: | 19,68 Gb Total Space | 3,05 Gb Free Space | 15,49% Space Free | Partition Type: FAT32
Drive I: | 18,80 Gb Total Space | 1,07 Gb Free Space | 5,68% Space Free | Partition Type: FAT32
Drive J: | 64,52 Gb Total Space | 35,65 Gb Free Space | 55,26% Space Free | Partition Type: NTFS
 
Computer Name: XXX
Current User Name: XXX
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Autodesk\Inventor Publisher Technology Preview 1\Inventor Publisher.exe" = C:\Programme\Autodesk\Inventor Publisher Technology Preview 1\Inventor Publisher.exe:*:Enabled:Inventor Publisher Technology Preview 1 -- (Autodesk, Inc.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe" = C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe:*:Enabled:ClipInc Server -- ()
"C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe" = C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe:*:Enabled:ClipInc Player -- (Tobit.Software)
"C:\Programme\Tobit ClipInc\Player\RadioRecorder.exe" = C:\Programme\Tobit ClipInc\Player\RadioRecorder.exe:*:Enabled:WDR RadioRecorder -- (Tobit.Software)
"C:\Programme\LeechFTP\Leechftp.exe" = C:\Programme\LeechFTP\Leechftp.exe:*:Enabled:LeechFTP -- (jan debis)
"C:\Programme\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe" = C:\Programme\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.2 -- (Sony Creative Software Inc.)
"C:\Programme\Sony Ericsson\Update Service\Update Service.exe" = C:\Programme\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service -- ()
"C:\Programme\Autodesk\Inventor Publisher Technology Preview 1\Inventor Publisher.exe" = C:\Programme\Autodesk\Inventor Publisher Technology Preview 1\Inventor Publisher.exe:*:Enabled:Inventor Publisher Technology Preview 1 -- (Autodesk, Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{05880A23-4032-42E7-9703-7D54F62B2CBC}" = 3Dconnexion Plug-In for NX 4.0
"{089B1349-BA53-43B1-A2C9-DBF9A7F8FD30}" = MOTORRAD Tourenplaner 2008/2009
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{14B3B883-5110-4A25-B53B-C92DD35C90C9}" = 3Dconnexion Plug-In for NX 6.0
"{154446DA-45DB-49F2-A284-D2C8AE997193}" = 3Dconnexion Plug-In for Photoshop CS3
"{1A6A053D-2216-4418-A6CC-B56447D277CA}" = 3Dconnexion Plug-In for Maya 8.5
"{1A986F4A-5DBA-4A6F-8CE3-973066C2587C}" = 3Dconnexion Plug-in for QuickTime VR
"{1B4EDAA6-E7A7-41DB-B7F0-07A4CD47DE12}" = 3Dconnexion Add-In for SolidWorks
"{1C2BF45B-DB85-4D90-842C-05F129215807}" = 3Dconnexion Plug-In for Maya 7
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FD0C5C1-B01B-4B4C-9607-E5D3B3D1318F}" = Microsoft IntelliPoint 4.1
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 17
"{2CD6BBA0-17C8-4789-9B9B-B36F7E815F6A}" = DWG TrueView 2007
"{2FFE93F0-BB72-4E52-8761-354D1AAA9387}" = Sony Ericsson PC Suite 6.009.00
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D4BC848-51AD-4C5C-8EE6-5E4E06C09D9A}" = Autodesk Inventor 2008 SP3 Client Update for Autodesk Vault Server 2010
"{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime
"{3F451B32-9977-46CA-BE4A-AD34E56718E5}" = 3Dconnexion Plug-In for Pro/ENGINEER WF4
"{46653DF9-CF76-4127-9FC6-B3E43EBD83CE}" = 3Dconnexion Picture Viewer
"{46B70DEB-97B3-4E38-B746-EC16905E6A8F}" = WISO Sparbuch 2010
"{4B61A046-F3A2-4902-AD0E-00EEAA7D58EE}" = 3Dconnexion Plug-In for Pro/ENGINEER
"{52969324-463B-4643-BF36-854BE2BECB89}" = Autodesk Inventor 2010 Language Pack - Deutsch
"{5545EEE1-FA36-4F76-B6BE-5696E7F4E2D6}" = VBA (2627.01)
"{5545EEE4-FA36-4F76-B6BE-5696E7F4E2D6}" = VBA (2701.01)
"{55D9E026-DCB0-46FF-B60A-68B972228CF6}" = Autodesk Design Review 2010
"{56B79408-7B19-4AFF-BA61-397DA861B7F7}" = 3Dconnexion Plug-In for Maya 8
"{5783F2D7-6003-0407-0002-0060B0CE6BBA}" = Autodesk Mechanical Desktop 2008
"{5783F2D7-8005-0407-0002-0060B0CE6BBA}" = AutoCAD Mechanical 2010
"{5783F2D7-8005-0407-1002-0060B0CE6BBA}" = AutoCAD Mechanical 2010 Language Pack - Deutsch
"{5783F2D7-8028-0409-0000-0060B0CE6BBA}" = DWG TrueView 2010
"{590D4F8F-98FE-47FA-AC2B-3F22FDCF7C09}" = ShareIns
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6ABE15E2-2246-4616-B27A-DA49484E88BA}" = Autodesk Inventor Publisher Technology Preview 1
"{6F411DB4-EC41-482B-AD46-384957928F69}" = AOEMView 2008
"{71807498-D8E2-41C6-84CD-8ED7A076B6EC}" = NVIDIA Performance Drivers
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7446D38D-DF79-4CFD-ADB8-A935610677CE}" = 3Dconnexion Plug-In for Photoshop CS4
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{7F4DD591-1200-0409-0000-7107D70F3DB4}" = Autodesk Inventor Suite 2008
"{7F4DD591-1400-0409-0000-7107D70F3DB4}" = Autodesk Inventor 2010
"{84C0C8FC-2C33-4854-88F1-602119315A9F}" = 3Dconnexion Plug-In for Maya 6
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8A22501F-8C34-46B8-B700-A9F071C0F1D0}" = 3Dconnexion Plug-In for Maya 2009
"{8B91DD1A-F42F-41C9-B3B7-089CF226ADE9}" = 3Dconnexion Add-In for Inventor
"{91BB7AFD-1A56-4B70-9CDE-396DDDECFCB6}" = 3Dconnexion Plug-In for Maya 6.5
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{98EA51C9-B0B0-45BC-8641-3E119EA47D7B}" = Sony Ericsson Media Manager 1.2
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4F084CE-8EE1-49ED-A091-8C21CA3A32DB}" = 3Dconnexion Add-On for XSI
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9DDB465-D9DF-4614-A302-A0DD57BD9E50}" = 3Dconnexion Add-In for Solid Edge
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AE875B96-F556-4EA2-877E-0468D93A29F4}" = 3Dconnexion 3DxWare
"{AEB9948B-4FF2-47C9-990E-47014492A0FE}" = MSXML 6.0 Parser
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B369734D-9BE0-4C6E-ABE9-47BA81E95CFF}" = 3Dconnexion Plug-In for NX 5.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B596FC49-3467-4D85-BFDC-3B0608438287}" = 3Dconnexion Plug-In for 3ds max 6 - 8
"{B8E952E3-A823-443A-8493-39A0CCE0E3EB}" = HP Photo and Imaging 1.0 - Scanjet 3500c Series
"{BAFCA6AC-8B37-405B-B57E-C1D45DE70ACC}" = 3Dconnexion 3DxSoftware
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1ECB98D-1D38-4DBC-976C-457E6BE6EA2B}" = 3Dconnexion Plug-in for Acrobat 3D
"{C3DEE2E2-46A0-43C8-9705-718E28AFBFBD}" = ADRFF
"{C41120E7-1982-4BE2-B74C-BB2DA3EC8C32}" = powerPARTS 2006.1
"{C4A4C029-45F9-4816-8A1D-0F7E3521BFA4}" = 3Dconnexion Extension for SketchUp
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE078A83-F697-4177-8471-4EB4505159B6}" = 3Dconnexion Plug-In for 3ds Max 9
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D7A95B1E-BCCE-4C81-9AA0-355EC67E9EDD}" = 3Dconnexion Add-In for AutoCAD 2007
"{D7F99D33-3E37-49C1-B0AE-F2DEDEAC1D60}" = 3Dconnexion Plug-In for Maya 2008
"{E1F01B60-88C3-4D98-AC00-27D0E57D0479}" = 3Dconnexion Plug-In for 3ds Max 2008
"{E2982B94-37A4-45FD-A879-AC69C4CA870F}" = Jalbum
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{EDFBE122-E5D3-42D7-89D4-E633B015DA56}" = 3Dconnexion Add-In for AutoCAD 2009
"{F6455F2B-1C7E-4217-8E34-4F7217D19775}" = 3Dconnexion Plug-In for 3ds Max 2009
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{F996076C-BED5-45D6-9C10-39BC7B005F77}" = 3Dconnexion Plug-In for Photoshop CS2
"{FB26A501-6BA6-459B-89AA-9736730752FB}" = VoiceOver Kit
"{FC906D5C-91F9-4DA4-A765-6DCBB669F317}" = Sony Ericsson PC Suite
"{FCB10DE3-E190-4A7E-B06A-FAC61567ABFC}" = MySQL Tools for 5.0
"{FCF29369-D818-42E4-9604-78A950D8A14E}" = 3Dconnexion Add-In for AutoCAD 2008
"{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}" = Disc2Phone
"ACDSee Trial-Version" = ACDSee Trial-Version
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.5
"AOEMView 2008" = AOEMView 2008
"AutoCAD Mechanical 2010" = AutoCAD Mechanical 2010
"Autodesk Design Review 2010" = Autodesk Design Review 2010
"Autodesk Inventor 2010" = Autodesk Inventor 2010 Deutsch (German)
"Autodesk Inventor 2010 SP1" = Autodesk Inventor 2010 SP1
"Autodesk Mechanical Desktop 2008" = Autodesk Mechanical Desktop 2008
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon Digital Camera USB WIA Driver" = Canon Digital Camera USB WIA Driver
"Canon PhotoStitch 3.1" = Canon Utilities PhotoStitch 3.1
"Canon Setup Utility 2.0" = Canon Setup Utility 2.0
"Canon Utilities RAW Image Converter" = Canon Utilities RAW Image Converter
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"C-Media Audio" = C-Media 3D Audio
"Corel Applications" = Corel Applications
"DWG TrueView 2010" = DWG TrueView 2010
"FileZilla Client" = FileZilla Client 3.3.1
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.1
"FRITZ!DSL" = AVM FRITZ!DSL
"Google Chrome" = Google Chrome
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"IrfanView" = IrfanView (remove only)
"Jalbum_0" = Jalbum 8.1
"LeechFTP" = LeechFTP
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Micrografx Graphics Suite 2 Enterprise" = Micrografx Graphics Suite 2 Enterprise
"Micrografx Picture Publisher 7" = Micrografx Picture Publisher 7
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Autodesk Mechanical Desktop 2008 Performance Driver" = NVIDIA Performance Driver for Autodesk Mechanical Desktop 2008
"NVIDIA Drivers" = NVIDIA Drivers
"PhotoRecord" = Canon PhotoRecord
"Pixum ePrint" = Pixum ePrint 1.2
"RemoteCapture" = Canon Utilities RemoteCapture 2.1
"Tobit ClipInc Server" = Tobit.Software clipinc.fx und WDR RadioRecorder
"Update Service" = Update Service
"VLC media player" = VLC media player 0.9.8a
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"ZoomBrowserEXDeInstall" = Canon Utilities ZoomBrowser EX
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.01.2010 15:52:43 | Computer Name = XXX | Source = Application Error | ID = 1000
Description = Faulting application radiorecorder.exe, version 5.0.0.873, faulting
module urlmon.dll, fault address 0x7df5b5ce.
 
Error - 13.01.2010 15:52:52 | Computer Name = XXX | Source = Application Error | ID = 1000
Description = Faulting application radiorecorder.exe, version 5.0.0.873, faulting
module urlmon.dll, fault address 0x7df5b5ce.
 
Error - 18.01.2010 15:48:40 | Computer Name = XXX | Source = SecurityCenter | ID = 1802
Description = Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der
WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.
 
Error - 27.01.2010 15:30:20 | Computer Name = XXX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung generic.exe, Version 1.4.12.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x70655276.
 
Error - 02.02.2010 18:10:38 | Computer Name = XXX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 9.0.0.2416, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 04.09.2010 07:50:58 | Computer Name = XXX | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Dienst "Bonjour"" ist vom Dienst "TCP/IP-Protokolltreiber"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
 
Error - 04.09.2010 07:50:58 | Computer Name = XXX | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
 
Error - 04.09.2010 07:50:58 | Computer Name = XXX | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Simple Mail Transfer Protocol (SMTP)" ist vom Dienst "IIS
Admin" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068
 
Error - 04.09.2010 07:50:58 | Computer Name = XXX | Source = Service Control Manager | ID = 7001
Description = Der Dienst "WWW-Publishing" ist vom Dienst "IIS Admin" abhängig, der
aufgrund folgenden Fehlers nicht gestartet wurde: %%1068
 
Error - 04.09.2010 07:50:58 | Computer Name = XXX | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD avgio avipbb Fips intelppm IPSec MRxSmb NetBIOS NetBT NETDSL RasAcd Rdbss ssmdrv Tcpip
 
Error - 04.09.2010 07:51:16 | Computer Name = XXX | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 04.09.2010 07:53:19 | Computer Name = XXX | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.09.2010 07:59:18 | Computer Name = XXX | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.09.2010 08:12:24 | Computer Name = XXX | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 04.09.2010 08:13:22 | Computer Name = XXX | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Startberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {DCBCA92E-7DBE-4EDA-8B7B-3AAEA4DD412B} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
 
 
< End of report >
--- --- ---

Da ich bereits mit einigen Tools gearbeitet hatte, hier auch deren Logs:

RootRepeal

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/09/04 14:16
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB76C8000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79F3000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB64D2000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\WINDOWS\Temp\GUR3.tmp
Status: Invisible to the Windows API!

Path: C:\WINDOWS\Temp\BIT5.tmp
Status: Invisible to the Windows API!

SSDT
-------------------
#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7aa3b6c

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7aa3b58

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7aa3b5d

==EOF==

F-Secure Blacklight

09/04/10 14:35:29 [Info]: BlackLight Engine 2.2.1092 initialized
09/04/10 14:35:29 [Info]: OS: 5.1 build 2600 (Service Pack 3, v.3264)
09/04/10 14:35:29 [Note]: 7019 4
09/04/10 14:35:29 [Note]: 7005 0
09/04/10 14:35:31 [Note]: 7006 0
09/04/10 14:35:31 [Note]: 7011 3180
09/04/10 14:35:31 [Note]: 7035 0
09/04/10 14:35:31 [Note]: 7026 0
09/04/10 14:35:32 [Note]: 7026 0
09/04/10 14:35:34 [Note]: FSRAW library version 1.7.1024
09/04/10 14:38:18 [Note]: 2000 1012
09/04/10 14:41:21 [Note]: 7007 0

GMER läuft noch, allerdings befürchte ich, dass wir unseren Familienbesuch hier beenden werden, bevor der vollständige Scan erledigt ist. Falls ich das GMER-Logfile noch bekommen sollte bevor ich die 3 Stunden auf der Autobahn bin, werde ich das hier noch anhängen, andernfalls als gesonderte Antwort auf meinen Beitrag posten.

Der Virenscanner meines Schwagers ist die freie Avira-Version mit letztem Update vom 01.09.2010.

Guido

Seltsam, wenn ich die OTL.txt hier per C&P poste bekomme ich grundsätzlichen ein Problem mit dem PHP-Script:

Fatal error: Maximum execution time of 30 seconds exceeded in /www/htdocs/tbcom/includes/functions.php on line 1838

Also dann, gesplittet in 2 Anhängen:

OTL.txt

Hallo,

heute habe ich dann per eMail dann auch noch das GMER-Log von meinem Schwager bekommen:

GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-04 22:43:44
Windows 5.1.2600 Service Pack 3, v.3264
Running: gmer.exe; Driver: C:\DOKUME~1\XXX\LOKALE~1\Temp\pgldypow.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT            B9EF9934                                                                                                            ZwCreateThread
SSDT            B9EF9920                                                                                                            ZwOpenProcess
SSDT            B9EF9925                                                                                                            ZwOpenThread
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                            section is writeable [0xB92DD360, 0x348EE7, 0xE8000020]
 
---- User code sections - GMER 1.0.15 ----
 
?              C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe[244] C:\WINDOWS\system32\PSAPI.DLL  IMAGE_DOS_SIGNATURE not found;
.text          C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[336] kernel32.dll!SetUnhandledExceptionFilter                  7C8449FD 5 Bytes  JMP 0049F8A0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!GetSysColor                                        7E368E78 5 Bytes  JMP 100482A0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!GetSysColorBrush                                  7E368EAB 5 Bytes  JMP 100482E0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!SetScrollInfo                                      7E369056 7 Bytes  JMP 10053CC0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!GetScrollInfo                                      7E370272 7 Bytes  JMP 10053C10 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!ShowScrollBar                                      7E37F303 5 Bytes  JMP 10053D90 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!GetScrollPos                                      7E37F714 5 Bytes  JMP 10053C50 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!SetScrollPos                                      7E37F760 5 Bytes  JMP 10053D00 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!GetScrollRange                                    7E37F797 5 Bytes  JMP 10053C80 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!SetScrollRange                                    7E37F9AB 5 Bytes  JMP 10053D40 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!DrawFrameControl                                  7E38E947 7 Bytes  JMP 100475B0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[384] USER32.dll!EnableScrollBar                                    7E3B7FFD 7 Bytes  JMP 10053BD0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[392] USER32.dll!DefWindowProcA + 11A                7E36DE38 7 Bytes  JMP 10031D10 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[392] USER32.dll!SetWindowRgn + 2BF                  7E370EFD 7 Bytes  JMP 10031C80 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[392] USER32.dll!SetClipboardData + 19D              7E38114B 7 Bytes  JMP 10031CF0 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
?              C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe[752] C:\WINDOWS\system32\msvcrt.dll                        IMAGE_DOS_SIGNATURE not found;
.text          C:\WINDOWS\Explorer.EXE[2032] kernel32.dll!CreateProcessInternalW                                                    7C81979C 5 Bytes  JMP 009E874A
?              C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe[2972] C:\WINDOWS\system32\msvcrt.dll                      IMAGE_DOS_SIGNATURE not found;
 
---- Devices - GMER 1.0.15 ----
 
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
---- EOF - GMER 1.0.15 ----
--- --- ---

cosinus 07.09.2010 10:27
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hansemann520 14.09.2010 18:56
Hallo zusammen,

wie schon angekündigt, wegen der "Fernwartung" gibt es da immer einen gewissen zeitlichen Verzug, aber mein Schwager konnte mir nun auch den Fullscan von MBAM zusenden - und da scheint es ja auch was zu geben:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4587

Windows 5.1.2600 Service Pack 3, v.3264
Internet Explorer 6.0.2900.3264

11.09.2010 08:51:38
mbam-log-2010-09-11 (08-51-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 676146
Laufzeit: 6 Stunde(n), 44 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{15D8B02C-E07C-4103-8277-7998755F4E63}\RP2\A0001330.sys (Rogue.Spywarecease) -> No action taken.
C:\System Volume Information\_restore{15D8B02C-E07C-4103-8277-7998755F4E63}\RP2\A0001329.dll (Rogue.SpywareCease) -> No action taken.


Guido

cosinus 14.09.2010 20:22
Zitat:
Windows 5.1.2600 Service Pack 3, v.3264
Das ganze ist recht unauffällig (von den OTL- und Malwarebytes-Log) aber mir fällt da auf, dass da nicht das finale SP3 drauf ist.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hansemann520 21.09.2010 21:56
Hallo zusammen,

war unterwegs, daher die Antwort mit etwas Verzögerung. Hier aus CoFi-Log:

Combofix Logfile:
Code:
ComboFix 10-09-17.04 - XXX 19.09.2010  11:13:38.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1279.812 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe3E.dll
c:\dokumente und einstellungen\XXX\Anwendungsdaten\8A139D8AA9C69A06266A6591DE12C846
c:\dokumente und einstellungen\XXX\Anwendungsdaten\8A139D8AA9C69A06266A6591DE12C846\enemies-names.txt
c:\dokumente und einstellungen\XXX\Anwendungsdaten\8A139D8AA9C69A06266A6591DE12C846\local.ini
c:\dokumente und einstellungen\XXX\Anwendungsdaten\8A139D8AA9C69A06266A6591DE12C846\lsrslt.ini
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Windows Server
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Windows Server\flags.ini
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Windows Server\uses32.dat
c:\windows\Downloaded Program Files\IDropPTB.dll
c:\windows\system32\Cache

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt

.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-19 bis 2010-09-19  ))))))))))))))))))))))))))))))
.

2010-09-19 08:33 . 2010-09-19 08:33        --------        d-----w-        c:\programme\CCleaner
2010-09-04 13:01 . 2010-09-04 13:01        --------        d-----w-        c:\programme\ERUNT
2010-09-01 20:30 . 2007-12-01 00:48        116736        -c--a-w-        c:\windows\system32\dllcache\xrxwiadr.dll
2010-09-01 20:30 . 2001-08-18 02:54        23040        -c--a-w-        c:\windows\system32\dllcache\xrxwbtmp.dll
2010-09-01 20:30 . 2007-12-01 00:48        19456        -c--a-w-        c:\windows\system32\dllcache\xrxscnui.dll
2010-09-01 20:30 . 2001-08-18 02:55        27648        -c--a-w-        c:\windows\system32\dllcache\xrxftplt.exe
2010-09-01 20:30 . 2001-08-18 02:55        4608        -c--a-w-        c:\windows\system32\dllcache\xrxflnch.exe
2010-09-01 20:30 . 2001-08-18 02:55        99865        -c--a-w-        c:\windows\system32\dllcache\xlog.exe
2010-09-01 20:29 . 2001-08-17 10:11        16970        -c--a-w-        c:\windows\system32\dllcache\xem336n5.sys
2010-09-01 20:29 . 2007-11-30 13:15        19455        -c--a-w-        c:\windows\system32\dllcache\wvchntxx.sys
2010-09-01 20:29 . 2007-11-30 15:32        19200        -c--a-w-        c:\windows\system32\dllcache\wstcodec.sys
2010-09-01 20:29 . 2007-11-30 13:15        12063        -c--a-w-        c:\windows\system32\dllcache\wsiintxx.sys
2010-09-01 20:29 . 2007-12-01 00:48        8192        -c--a-w-        c:\windows\system32\dllcache\wshirda.dll
2010-09-01 20:29 . 2007-11-30 15:31        8832        -c--a-w-        c:\windows\system32\dllcache\wmiacpi.sys
2010-09-01 20:29 . 2007-11-30 13:16        154624        -c--a-w-        c:\windows\system32\dllcache\wlluc48.sys
2010-09-01 20:29 . 2001-08-18 02:24        35402        -c--a-w-        c:\windows\system32\dllcache\wlandrv2.sys
2010-09-01 20:29 . 2001-08-17 11:28        771581        -c--a-w-        c:\windows\system32\dllcache\winacisa.sys
2010-09-01 20:29 . 2001-08-18 02:54        54272        -c--a-w-        c:\windows\system32\dllcache\wiamsmud.dll
2010-09-01 20:29 . 2001-08-18 02:54        87040        -c--a-w-        c:\windows\system32\dllcache\wiafbdrv.dll
2010-09-01 20:27 . 2001-08-17 11:28        604253        -c--a-w-        c:\windows\system32\dllcache\vmodem.sys
2010-09-01 20:26 . 2001-08-18 02:54        28672        -c--a-w-        c:\windows\system32\dllcache\umaxu40.dll
2010-09-01 20:25 . 2001-08-17 10:51        222336        -c--a-w-        c:\windows\system32\dllcache\trid3dm.sys
2010-09-01 20:24 . 2001-08-17 11:49        30464        -c--a-w-        c:\windows\system32\dllcache\tbatm155.sys
2010-09-01 20:23 . 2001-08-18 02:18        287232        -c--a-w-        c:\windows\system32\dllcache\stlnata.sys
2010-09-01 20:22 . 2001-08-17 10:51        58368        -c--a-w-        c:\windows\system32\dllcache\smiminib.sys
2010-09-01 20:21 . 2001-08-17 10:50        104064        -c--a-w-        c:\windows\system32\dllcache\sisgrp.sys
2010-09-01 20:20 . 2001-08-18 02:34        16896        -c--a-w-        c:\windows\system32\dllcache\scmstcs.sys
2010-09-01 20:19 . 2007-12-01 00:47        29696        -c--a-w-        c:\windows\system32\dllcache\rw450ext.dll
2010-09-01 20:18 . 2001-08-17 11:52        40448        -c--a-w-        c:\windows\system32\dllcache\ql1240.sys
2010-09-01 20:17 . 2001-08-17 12:07        19840        -c--a-w-        c:\windows\system32\dllcache\philtune.sys
2010-09-01 20:16 . 2001-08-18 02:55        39424        -c--a-w-        c:\windows\system32\dllcache\ovcoms.exe
2010-09-01 20:15 . 2001-08-17 11:53        7552        -c--a-w-        c:\windows\system32\dllcache\nsmmc.sys
2010-09-01 20:14 . 2001-08-18 02:25        76288        -c--a-w-        c:\windows\system32\dllcache\mxport.sys
2010-09-01 20:13 . 2007-11-30 15:32        15232        -c--a-w-        c:\windows\system32\dllcache\mpe.sys
2010-09-01 20:12 . 2007-11-30 15:25        7040        -c--a-w-        c:\windows\system32\dllcache\ltotape.sys
2010-09-01 20:11 . 2007-12-01 00:44        6144        -c--a-w-        c:\windows\system32\dllcache\kbd106.dll
2010-09-01 20:10 . 2001-08-18 02:53        372824        -c--a-w-        c:\windows\system32\dllcache\iconf32.dll
2010-09-01 20:09 . 2001-08-17 11:28        488383        -c--a-w-        c:\windows\system32\dllcache\hsf_v124.sys
2010-09-01 20:08 . 2001-08-18 02:53        165888        -c--a-w-        c:\windows\system32\dllcache\hpgt53.dll
2010-09-01 20:07 . 2001-08-18 02:53        92160        -c--a-w-        c:\windows\system32\dllcache\fuusd.dll
2010-09-01 20:06 . 2001-08-18 02:31        347870        -c--a-w-        c:\windows\system32\dllcache\es56tpi.sys
2010-09-01 20:05 . 2001-08-17 10:12        19594        -c--a-w-        c:\windows\system32\dllcache\e100isa4.sys
2010-09-01 20:04 . 2001-08-17 10:11        24649        -c--a-w-        c:\windows\system32\dllcache\dfe650d.sys
2010-09-01 20:03 . 2001-08-17 10:11        39936        -c--a-w-        c:\windows\system32\dllcache\cnxt1803.sys
2010-09-01 09:05 . 2001-08-18 02:21        14208        -c--a-w-        c:\windows\system32\dllcache\bulltlp3.sys
2010-09-01 09:05 . 2001-08-17 11:12        10368        -c--a-w-        c:\windows\system32\dllcache\brusbscn.sys
2010-09-01 09:05 . 2001-08-17 10:11        31529        -c--a-w-        c:\windows\system32\dllcache\brzwlan.sys
2010-09-01 09:05 . 2001-08-17 11:12        11008        -c--a-w-        c:\windows\system32\dllcache\brusbmdm.sys
2010-09-01 09:05 . 2001-08-17 11:12        60416        -c--a-w-        c:\windows\system32\dllcache\brserwdm.sys
2010-09-01 09:05 . 2001-08-18 02:53        9728        -c--a-w-        c:\windows\system32\dllcache\brserif.dll
2010-09-01 09:05 . 2001-08-18 02:53        5120        -c--a-w-        c:\windows\system32\dllcache\brscnrsm.dll
2010-09-01 09:05 . 2001-08-18 02:21        39808        -c--a-w-        c:\windows\system32\dllcache\brparwdm.sys
2010-09-01 09:05 . 2001-08-17 11:12        3168        -c--a-w-        c:\windows\system32\dllcache\brparimg.sys
2010-09-01 09:04 . 2001-08-18 02:53        41472        -c--a-w-        c:\windows\system32\dllcache\brmfusb.dll
2010-09-01 09:04 . 2001-08-18 02:54        32256        -c--a-w-        c:\windows\system32\dllcache\brmfrsmg.exe
2010-09-01 09:04 . 2001-08-18 02:53        29696        -c--a-w-        c:\windows\system32\dllcache\brmflpt.dll
2010-09-01 09:04 . 2001-08-18 02:53        81920        -c--a-w-        c:\windows\system32\dllcache\brmfcwia.dll
2010-09-01 09:04 . 2001-08-18 02:53        15360        -c--a-w-        c:\windows\system32\dllcache\brmfbidi.dll
2010-09-01 09:04 . 2001-08-17 11:12        3968        -c--a-w-        c:\windows\system32\dllcache\brfiltup.sys
2010-09-01 09:04 . 2001-08-17 11:12        12160        -c--a-w-        c:\windows\system32\dllcache\brfiltlo.sys
2010-09-01 09:04 . 2001-08-17 11:12        2944        -c--a-w-        c:\windows\system32\dllcache\brfilt.sys
2010-09-01 09:04 . 2001-08-18 02:53        12800        -c--a-w-        c:\windows\system32\dllcache\brevif.dll
2010-09-01 09:04 . 2001-08-18 02:53        9728        -c--a-w-        c:\windows\system32\dllcache\brcoinst.dll
2010-09-01 09:04 . 2001-08-18 02:53        19456        -c--a-w-        c:\windows\system32\dllcache\brbidiif.dll
2010-09-01 08:43 . 2001-08-18 02:53        103936        -c--a-w-        c:\windows\system32\dllcache\binlsvc.dll
2010-09-01 08:39 . 2007-11-30 15:32        11776        -c--a-w-        c:\windows\system32\dllcache\bdasup.sys
2010-09-01 08:39 . 2001-08-17 11:28        871388        -c--a-w-        c:\windows\system32\dllcache\bcmdm.sys
2010-09-01 08:39 . 2001-08-17 10:11        26568        -c--a-w-        c:\windows\system32\dllcache\bcm4e5.sys
2010-09-01 08:39 . 2001-08-17 10:11        54271        -c--a-w-        c:\windows\system32\dllcache\bcm42xx5.sys
2010-09-01 08:39 . 2001-08-17 10:11        66557        -c--a-w-        c:\windows\system32\dllcache\bcm42u.sys
2010-09-01 08:39 . 2007-12-01 00:02        16384        -c--a-w-        c:\windows\system32\dllcache\battc.sys
2010-09-01 08:39 . 2001-08-18 02:52        342336        -c--a-w-        c:\windows\system32\dllcache\banshee.dll
2010-09-01 08:39 . 2001-08-17 10:48        36128        -c--a-w-        c:\windows\system32\dllcache\banshee.sys
2010-09-01 08:39 . 2001-08-18 02:20        97440        -c--a-w-        c:\windows\system32\dllcache\b57xp32.sys
2010-09-01 08:37 . 2001-08-18 02:52        66048        -c--a-w-        c:\windows\system32\dllcache\s3legacy.dll
2010-09-01 08:37 . 2007-12-01 00:11        2191360        -c--a-w-        c:\windows\system32\dllcache\ntoskrnl.exe
2010-08-31 13:43 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-31 13:43 . 2010-08-31 13:43        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-31 13:43 . 2010-08-31 13:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-31 13:43 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-31 11:40 . 2010-08-31 11:40        --------        d-----w-        c:\programme\Alwil Software
2010-08-31 11:40 . 2010-08-31 11:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-08-31 08:42 . 2010-08-31 08:42        --------        d-----w-        c:\windows\system32\wbem\Repository
2010-08-31 07:58 . 2010-09-02 14:29        --------        d-----w-        c:\windows\system32\NtmsData
2010-08-30 21:33 . 2010-09-19 08:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-30 21:33 . 2010-08-31 08:59        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-08-30 15:34 . 2009-10-27 22:36        1152444        ----a-w-        c:\windows\UDB.zip
2010-08-30 15:34 . 2008-11-26 09:08        131        ----a-w-        c:\windows\IDB.zip
2010-08-30 15:33 . 2010-08-31 08:41        --------        d-----w-        c:\programme\Spyware Doctor
2010-08-30 15:33 . 2010-08-31 08:41        --------        d-----w-        c:\programme\Gemeinsame Dateien\PC Tools

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-19 09:10 . 2009-05-05 16:59        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-09-08 19:07 . 2009-07-08 15:23        762144        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-15 17:39 . 2010-08-15 17:39        --------        d-----w-        c:\programme\Omegatron
2010-08-15 13:56 . 2010-08-15 13:56        --------        d-----w-        c:\programme\IrfanView
2010-08-15 13:33 . 2010-08-15 13:33        --------        d-----w-        c:\programme\VG Solutions
2010-07-01 21:22 . 2010-07-01 21:22        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-25 39408]
"ClipIncSrvTray"="c:\programme\Tobit ClipInc\Player\ClipIncTray.exe" [2009-03-16 668424]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-26 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-26 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-23 487424]
"Share-to-Web Namespace Daemon"="c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2001-10-02 10752]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-12-01 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Start 3DxWare.lnk - c:\programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe [2008-10-22 118272]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RkHit.sys]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rootrepeal.sys]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"c:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"c:\\Programme\\Tobit ClipInc\\Player\\RadioRecorder.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\Autodesk\\Inventor Publisher Technology Preview 1\\Inventor Publisher.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [05.05.2009 19:04 11264]
R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\drivers\Aadev.sys [05.05.2009 19:04 27648]
R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [05.12.2009 12:46 90112]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [05.05.2009 19:04 374272]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [05.12.2009 12:46 27632]
S2 gupdate1c9cda9bd59d81e;Google Update Service (gupdate1c9cda9bd59d81e);c:\programme\Google\Update\GoogleUpdate.exe [05.05.2009 19:48 133104]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [10.12.2009 19:50 13224]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [28.10.2009 20:05 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [28.10.2009 20:05 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [28.10.2009 20:05 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [28.10.2009 20:05 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [28.10.2009 20:05 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [28.10.2009 20:05 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [28.10.2009 20:05 117672]
.
Inhalt des "geplante Tasks" Ordners

2010-09-19 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-25 12:04]

2010-09-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-05 17:48]

2010-09-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-05 17:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
uInternet Connection Wizard,ShellNext = hxxp://www.3dconnexion.com/checkupdates
TCP: {15CB6312-7F79-439D-8AAA-2FA672622CCD} = 192.168.122.252,192.168.122.253
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\3ksle3qh.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: network.proxy.type - 0
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Autodesk\ADRFF\npADRdwf.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-POINTER - point32.exe
HKU-Default-RunOnce-3DxAssociateFileExts - c:\programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe
AddRemove-HijackThis - p:\rootkit\HijackThis.exe
AddRemove-NVIDIA Autodesk Mechanical Desktop 2008 Performance Driver - c:\programme\Autodesk\MDT 2008\drv\nvunin.exe ACAD NVIDIA Autodesk Mechanical Desktop 2008 Performance Driver Software\Autodesk\AutoCAD\R17.1\ACAD-6003:407\



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-09-19 11:19
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(4020)
c:\programme\Tobit ClipInc\Player\ChargedByClipInc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\RunDll32.exe
c:\programme\Microsoft Hardware\Mouse\point32.exe
c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-19  11:22:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-19 09:22

Vor Suchlauf: 10 Verzeichnis(se), 171.849.043.968 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 171.811.241.984 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - C2CE43D8745B04F082636B6978BA1448
--- --- ---

Laut Aussage meines Schwagers tut es Google jetzt wieder ohne Probleme. Seht ihr das anhand des Logs auch so? (immerhin scheint es ja die winlogon.exe und die explorer.exe "erwischt" zu haben).

Guido

markusg 22.09.2010 09:49
1. deinstaliere spybot, starte dann neu.
2. update malwarebytes über die registerkarte aktualisierung, starte dann, nach deaktivierung aller programme, auch antivirus und trennen der internetverbindung, einen komplett scan, die funde in quarantäne, log posten.

cosinus 22.09.2010 12:22
Moin Markus, übernehmen Sie? ;) :party:

markusg 22.09.2010 13:39
sorry, falscher thread, übernimm

cosinus 22.09.2010 20:05
@Hansemann520:
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hansemann520 28.09.2010 21:11
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

hier dann die neuen Logs.

Viele Grüße,
Guido

GMER
====
GMER Logfile:
Code:
GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-09-26 21:20:05
Windows 5.1.2600 Service Pack 3, v.3264
Running: xpr3h0v5.exe; Driver: C:\DOKUME~1\JRG~1\LOKALE~1\Temp\pgldypow.sys


---- System - GMER 1.0.15 ----

SSDT            B8ED7EC6                                                                                                ZwCreateKey
SSDT            B8ED7EBC                                                                                                ZwCreateThread
SSDT            B8ED7ECB                                                                                                ZwDeleteKey
SSDT            B8ED7ED5                                                                                                ZwDeleteValueKey
SSDT            B8ED7EDA                                                                                                ZwLoadKey
SSDT            B8ED7EA8                                                                                                ZwOpenProcess
SSDT            B8ED7EAD                                                                                                ZwOpenThread
SSDT            B8ED7EE4                                                                                                ZwReplaceKey
SSDT            B8ED7EDF                                                                                                ZwRestoreKey
SSDT            B8ED7ED0                                                                                                ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                section is writeable [0xB9280360, 0x348EE7, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1692] kernel32.dll!SetUnhandledExceptionFilter      7C8449FD 5 Bytes  JMP 0049F8A0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!GetSysColor                          7E368E78 5 Bytes  JMP 100482A0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!GetSysColorBrush                      7E368EAB 5 Bytes  JMP 100482E0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!SetScrollInfo                        7E369056 7 Bytes  JMP 10053CC0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!GetScrollInfo                        7E370272 7 Bytes  JMP 10053C10 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!ShowScrollBar                        7E37F303 5 Bytes  JMP 10053D90 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!GetScrollPos                          7E37F714 5 Bytes  JMP 10053C50 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!SetScrollPos                          7E37F760 5 Bytes  JMP 10053D00 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!GetScrollRange                        7E37F797 5 Bytes  JMP 10053C80 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!SetScrollRange                        7E37F9AB 5 Bytes  JMP 10053D40 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!DrawFrameControl                      7E38E947 7 Bytes  JMP 100475B0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[1880] USER32.dll!EnableScrollBar                      7E3B7FFD 7 Bytes  JMP 10053BD0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[1908] USER32.dll!DefWindowProcA + 11A    7E36DE38 7 Bytes  JMP 10031D10 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[1908] USER32.dll!SetWindowRgn + 2BF      7E370EFD 7 Bytes  JMP 10031C80 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[1908] USER32.dll!SetClipboardData + 19D  7E38114B 7 Bytes  JMP 10031CF0 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---


OSAM
====

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
h**p://www.online-solutions.ru/en/
Saved at 20:25:30 on 27.09.2010

OS: Windows XP Professional Service Pack 3, v.3264 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"Launch3DxGUI.cpl" - ? - C:\WINDOWS\system32\Launch3DxGUI.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"ECSEPM" - "Sony Ericsson Mobile Communications AB" - C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\ecsepm.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AFS2k" (AFS2K) - "Oak Technology Inc." - C:\WINDOWS\system32\drivers\AFS2K.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVM ADSL Adapter Device" (aadev) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\aadev.sys
"AVM FRITZ!web DSL PPP" (NETFWDSL) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS
"AVM PPP over Ethernet" (NETDSL) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\netdsl.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{9F2C5BFD-3CB1-419F-9F5F-90B32ADD5BA8} "AdpShellExt Class" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Shell\AdpWShellExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{ADC46291-D8A1-4486-A24C-86FFB392AEFA} "AcDgnImageExtractor" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcDgnCOM17.dll
{5800AD5B-72C1-477B-9A08-CA112DF06D97} "AcInfoTipHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk, Inc." - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{94586423-855F-4EB2-9F6A-D9DA5658DBE3} "Context menu" - ? - C:\PROGRA~1\FREEM4~1\m4a_menu.dll  (File found, but it contains no detailed information)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{D0FAC080-AE1A-11ce-8016-CE90976DC901} "Picture Publisher File Viewer" - ? - C:\WINDOWS\system32\ppiv20.dll  (File found, but it contains no detailed information)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87} "Sony Ericsson File Manager" - "Popwire AB" - C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll
{738D66C6-0149-4D40-84E4-A7BB2D0CE949} "Sony Ericsson File Manager" - "Popwire AB" - C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)
"Start 3DxWare.lnk" - "3Dconnexion, INC" - C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ClipIncSrvTray" - "Tobit.Software" - "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
"Sony Ericsson PC Suite" - "Sony Ericsson Mobile Communications AB" - "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"swg" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"Share-to-Web Namespace Daemon" - "Hewlett-Packard" - C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
"Sony Ericsson PC Suite" - ? - "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"WinampAgent" - ? - "C:\Programme\Winamp\Winampa.exe"  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Autodesk Licensing Service" (Autodesk Licensing Service) - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"ClipInc 001" (ClipInc001) - ? - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1c9cda9bd59d81e)" (gupdate1c9cda9bd59d81e) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Sony Ericsson OMSI download service" (OMSI download service) - ? - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  (File found, but it contains no detailed information)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru

cosinus 28.09.2010 21:37
Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Hansemann520 07.10.2010 22:04
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

anbei der neue Log von meinem Schwager. Laut seiner Mail hat er "Die im Log empfohlene Aktion habe ich nicht durchgeführt."

Guido

cosinus 08.10.2010 11:29
fixmbr und fixboot wurden durchgeführt??


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131