Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   einige Malware gelöscht, jetzt Rundll ismsti.dll (https://www.trojaner-board.de/90860-einige-malware-geloescht-rundll-ismsti-dll.html)

baden 16.09.2010 18:27
einige Malware gelöscht, jetzt Rundll ismsti.dll
 
Hallo Forum,

mein Rechner wurde letzten Donnerstag von einem Virus/Trojaner befallen. Nun habe ich - auch Dank dieses Forums - nun fast alles wieder geheilt, zumindest finden die Virenprogramme nichts mehr.

Aber ich haben nun die Fehlermeldung beim Start von Windows XP:
RUNDLL
Fehler beim Laden von C:\WINDOWS\ismsti.dll
Das angegegebene Modul wurde nicht gefunden.

In einem anderen Post konnte ich lesen, dass vielleicht doch noch nicht alles geheilt ist, aber ich kam nicht weiter.

Anbei das Logfile - nach all meinen Heilungsversuchen. Bei Interesse hätte ich noch das Antivir Log Datei von Tag meines Befalls.

--------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:56, on 16.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\vVX1000.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\CCleaner\ccleaner.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fuelpilot-bosch
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe
O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Jtanakidalosac] rundll32.exe "C:\WINDOWS\ismsti.dll",Startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PHOTOfunSTUDIO HD Edition.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169068222781
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 9561 bytes

--------------------------

Danke

cosinus 17.09.2010 18:15
Zitat:
mein Rechner wurde letzten Donnerstag von einem Virus/Trojaner befallen. Nun habe ich - auch Dank dieses Forums - nun fast alles wieder geheilt, zumindest finden die Virenprogramme nichts mehr.
Poste bitte alle Logfiles mit den relevanten Funden.

baden 18.09.2010 10:57
Hi, da ich zu Beginn noch recht unbefangen war, hatte ich "nur" Antivir.
Hier das Logfile von Antivir:

--------------------------------------------
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 9. September 2010  22:01

Es wird nach 2796454 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : SPATZELRECHNER

Versionsinformationen:
BUILD.DAT      : 9.0.0.422    21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE    : 9.0.3.10    466689 Bytes  20.11.2009 13:13:20
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 11:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF  : 7.10.0.0  19875328 Bytes  06.11.2009 13:13:20
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 13:13:20
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 22:26:58
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 20:06:20
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 07:32:25
VBASE005.VDF  : 7.10.6.82  2494464 Bytes  15.04.2010 18:50:57
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 15:01:14
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 18:38:48
VBASE008.VDF  : 7.10.9.166      2048 Bytes  23.07.2010 18:38:48
VBASE009.VDF  : 7.10.9.167      2048 Bytes  23.07.2010 18:38:48
VBASE010.VDF  : 7.10.9.168      2048 Bytes  23.07.2010 18:38:48
VBASE011.VDF  : 7.10.9.169      2048 Bytes  23.07.2010 18:38:48
VBASE012.VDF  : 7.10.9.170      2048 Bytes  23.07.2010 18:38:48
VBASE013.VDF  : 7.10.9.198    157696 Bytes  26.07.2010 18:38:49
VBASE014.VDF  : 7.10.9.255    997888 Bytes  29.07.2010 18:38:55
VBASE015.VDF  : 7.10.10.28    139264 Bytes  02.08.2010 19:01:54
VBASE016.VDF  : 7.10.10.52    127488 Bytes  03.08.2010 17:55:19
VBASE017.VDF  : 7.10.10.84    137728 Bytes  06.08.2010 19:59:08
VBASE018.VDF  : 7.10.10.107    176640 Bytes  09.08.2010 16:18:28
VBASE019.VDF  : 7.10.10.130    132608 Bytes  10.08.2010 16:18:28
VBASE020.VDF  : 7.10.10.158    131072 Bytes  12.08.2010 18:12:10
VBASE021.VDF  : 7.10.10.190    136704 Bytes  16.08.2010 17:35:04
VBASE022.VDF  : 7.10.10.217    118272 Bytes  19.08.2010 18:09:52
VBASE023.VDF  : 7.10.10.246    130048 Bytes  23.08.2010 19:38:15
VBASE024.VDF  : 7.10.11.11    144896 Bytes  25.08.2010 19:38:15
VBASE025.VDF  : 7.10.11.33    135168 Bytes  27.08.2010 06:31:31
VBASE026.VDF  : 7.10.11.52    148992 Bytes  31.08.2010 17:19:15
VBASE027.VDF  : 7.10.11.75    124928 Bytes  03.09.2010 17:55:56
VBASE028.VDF  : 7.10.11.92    137728 Bytes  06.09.2010 15:39:13
VBASE029.VDF  : 7.10.11.107    166400 Bytes  08.09.2010 15:39:11
VBASE030.VDF  : 7.10.11.108      2048 Bytes  08.09.2010 15:39:11
VBASE031.VDF  : 7.10.11.119    54784 Bytes  09.09.2010 16:02:15
Engineversion  : 8.2.4.50
AEVDF.DLL      : 8.1.2.1      106868 Bytes  31.07.2010 18:39:07
AESCRIPT.DLL  : 8.1.3.44    1364346 Bytes  26.08.2010 19:38:23
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 04:46:18
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 21:17:57
AERDL.DLL      : 8.1.8.2      614772 Bytes  21.07.2010 19:41:46
AEPACK.DLL    : 8.2.3.5      471412 Bytes  06.08.2010 19:59:19
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  21.07.2010 19:41:21
AEHEUR.DLL    : 8.1.2.21    2883958 Bytes  03.09.2010 17:56:04
AEHELP.DLL    : 8.1.13.3    242038 Bytes  26.08.2010 19:38:16
AEGEN.DLL      : 8.1.3.20    397684 Bytes  26.08.2010 19:38:15
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 21:17:43
AECORE.DLL    : 8.1.16.2    192887 Bytes  21.07.2010 19:40:21
AEBB.DLL      : 8.1.1.0      53618 Bytes  23.04.2010 21:17:41
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  08.10.2009 09:57:48
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 19:44:24
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL    : 9.0.73.0      87297 Bytes  20.11.2009 13:13:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 9. September 2010  22:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '64551' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WsftpCOMHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'meinsparbuchheute.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhAutoRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '60' Prozesse mit '60' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '81' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <470649>
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\637a2890-264c09a8
  [0] Archivtyp: ZIP
    --> dev/s/Bavarian.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1
    --> dev/s/Saxonia.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.2
    --> dev/s/Silezia.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\5982fcbe-2c966b60
  [0] Archivtyp: ZIP
    --> AppletX.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1
C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\monmvr32.exe
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Programme\Mozilla Firefox\firefox.exe
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{2F8D9BC5-995E-4BE9-9807-53509A06085D}\RP293\A0050207.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\atmarpc.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\changer.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\fdc.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\flpydisk.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\irenum.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\kbdhid.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\sfloppy.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\streamip.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\usbstor.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD6E.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD73.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD78.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD7C.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD81.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD85.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD99.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD9D.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLDA1.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\637a2890-264c09a8
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc0506b.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\5982fcbe-2c966b60
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc15071.qua' verschoben!
C:\System Volume Information\_restore{2F8D9BC5-995E-4BE9-9807-53509A06085D}\RP293\A0050207.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb95068.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\atmarpc.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf650ac.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\changer.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cea50a0.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\fdc.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cec509c.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\flpydisk.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf950a4.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\irenum.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cee50aa.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\kbdhid.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ced509a.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\sfloppy.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf5509e.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\streamip.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfb50ad.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\usbstor.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ceb50ac.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD6E.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ccd5085.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD73.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f36b7a6.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD78.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f31be6e.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD7C.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f3a9886.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD81.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f30a636.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD85.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cd5e66.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD99.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48416316.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD9D.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48406bde.qua' verschoben!
C:\WINDOWS\system32\drivers\OLDA1.tmp
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '484313a6.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 9. September 2010  23:23
Benötigte Zeit:  1:21:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  16550 Verzeichnisse wurden überprüft
 583426 Dateien wurden geprüft
    23 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
    21 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      4 Dateien konnten nicht durchsucht werden
 583399 Dateien ohne Befall
  14904 Archive wurden durchsucht
      4 Warnungen
    23 Hinweise
  64551 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
--------------------------------------------

Etwas später gelang es mir, das meiste wieder zu reinigen. Anschließend blieb dann nur noch der folgende Virus übrig. Auszug aus dem Lofile.:

--------------------------------------------
Code:
Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\zumttt.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\zumttt.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
    [WARNUNG]  Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
    [WARNUNG]  Die Quelldatei konnte nicht gefunden werden.
    [HINWEIS]  Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf73cdd.qua' verschoben!
--------------------------------------------

Diese konnte ich nur mit Hilfe von "The Avenger" löschen.

Als letztes blieb nur noch der beschriebene RUNDLL Fehler, den ich mittlerweile aber auch mit Hilfe von Trend Mirco HijackThis habe löschen können:

"O4 - HKCU\..\Run: [Jtanakidalosac] rundll32.exe "C:\WINDOWS\ismsti.dll",Startup"

Aber leider war das Befreien meines Rechners so aufwendig, dass ich keine Gewissheit habe, ob es mir wirklich endgültig gelang. Deshalb poste ich noch mal da aktuelle Hijack Logfile. Vielleicht kann mir jmd mit mehr Kompetenz sagen, ob mein Rechner doch noch infiziert ist.

Danke

-------------------------------------------
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:03, on 18.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\vVX1000.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fuelpilot-bosch
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe
O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PHOTOfunSTUDIO HD Edition.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169068222781
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8477 bytes
--- --- ---

-------------------------------------------

cosinus 18.09.2010 12:37
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

baden 20.09.2010 17:38
Hallo,

ich habe nun beide Scans durchgeführt. Durch Malware habe ich nun doch noch drei betroffene Dateien gefunden.

Kann jemand helfen, wie ich nun die letzten drei auch noch eliminieren kann?
Danke

Malware
Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4654

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

20.09.2010 18:22:05
mbam-log-2010-09-20 (18-22-05).txt

Scan type: Full scan (C:\|)
Objects scanned: 215294
Time elapsed: 52 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
Nun der Log von OLT (Extras):
OTL Logfile:
OTL Logfile:
Code:
OTL Extras logfile created on: 20.09.2010 18:34:37 - Run 2
OTL by OldTimer - Version 3.2.12.1    Folder = C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 66,18 Gb Free Space | 59,20% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SPATZELRECHNER
Current User Name: Admin
NOT logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_USERS\S-1-5-21-981261687-363558514-1002934090-1006\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\ACDSee.exe" "%1" (ACD Systems, Ltd.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Fotoschau] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "-Foto %1" ()
Directory [SCHLECKER Foto Digital Service] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Directory [SCHLECKER Foto Digital Service.exe] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\fuel\microweb.exe" = D:\fuel\microweb.exe:*:Enabled:MicroWeb Web Server -- File not found
"C:\Programme\Microsoft LifeCam\LifeExp.exe" = C:\Programme\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe -- (Microsoft Corporation)
"C:\Programme\Microsoft LifeCam\LifeCam.exe" = C:\Programme\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe -- (Microsoft Corporation)
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:Enabled:Microsoft  Fax Console -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"D:\fuel\mysql\bin\mysqld.exe" = D:\fuel\mysql\bin\mysqld.exe:*:Disabled:mysqld -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{24561814-4815-4387-AC59-05DDEC5AF013}" = ACDSee 4.0.1 Standard
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4360BB46-507E-4361-8DCB-4FF9BDC9907B}" = SnagIt 7
"{46B70DEB-97B3-4E38-B746-EC16905E6A8F}" = WISO Sparbuch 2010
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5221B8FB-6C0B-4753-923C-5B78ACEF6626}" = ATI Catalyst Control Center
"{5EDB9281-1F84-4195-9CDD-85985D17DDC7}" = WISO Sparbuch 2007
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{91F7F3F3-CE80-48C3-8327-7D24A0A5716A}" = iTunes
"{98736A65-3C79-49EC-B7E9-A3C77774B0E6}" = Google SketchUp 6
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A9DBEBC-C800-4776-A970-D76D6AA405B1}" = PHOTOfunSTUDIO HD Edition
"{A1973A71-BC23-4A8C-A0A0-2B0497B7EAF4}" = WISO Sparbuch 2008
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AD88355B-A4E0-4DA1-BAC3-EA4FEA930691}" = Ipswitch WS_FTP 12
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}" = Google SketchUp 6
"{B76B2B1C-EDB0-4A4A-9D97-226EFE745BC4}" = Microsoft LifeCam
"{BA165460-FCF7-4D6C-A7A2-F2321700720F}" = MobileMe Control Panel
"{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}" = Adobe Flash Player 9 ActiveX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C76E8E58-CFEF-4BE2-9A6F-4F1AE997E5F2}" = Langenscheidt Vokabeltrainer 3.0 Italienisch
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC038D57-788A-4544-BF8F-179E5CF50D2F}" = Microsoft Visual C++ 2005 SP1 CRT Redistributable
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FE45EF11-F91F-4A39-A3CC-CD6B22FE4288}" = O2Micro Flash Memory Card Windows Driver V2.00
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Setup.divx.com" = DivX-Setup
"Firebird SQL Server D" = Firebird SQL Server (D)
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{FE45EF11-F91F-4A39-A3CC-CD6B22FE4288}" = O2Micro Flash Memory Card Windows Driver V2.00
"LetsTrade" = LetsTrade Komponenten
"MAGIX Digital Foto Maker SE D" = MAGIX Digital Foto Maker SE (D)
"MAGIX Fotos auf CD D" = MAGIX Fotos auf CD (D)
"MAGIX Media Suite - Standard Edition D" = MAGIX Media Suite - Standard Edition (D)
"MAGIX mp3 maker SE D" = MAGIX mp3 maker SE (D)
"MAGIX Online Druck Service (FS)" = MAGIX Online Druck Service (FS)
"MAGIX Video deLuxe SE D" = MAGIX Video deLuxe SE (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Nero Digital
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVEContent!UninstallKey" = NeroVision Express Content
"Picasa 3" = Picasa 3
"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service
"Skype™ for Windows Mobile_is1" = Skype™ for Windows Mobile 3.0
"SMSERIAL" = Motorola SM56 Data Fax Modem
"TomTom HOME" = TomTom HOME 2.7.3.1894
"VLC media player" = VideoLAN VLC media player 0.8.6d
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"Wings Of Fury" = Wings Of Fury
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-981261687-363558514-1002934090-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
 
========== Last 10 Event Log Errors ==========
 
Error: Unable to start EventLog service!
 
< End of report >
--- --- ---

[/code]
Nun der Log von OLT (OLT)
OTL Logfile:
OTL Logfile:
Code:
OTL logfile created on: 20.09.2010 18:34:37 - Run 2
OTL by OldTimer - Version 3.2.12.1    Folder = C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 66,18 Gb Free Space | 59,20% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SPATZELRECHNER
Current User Name: Admin
NOT logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Java\jre6\bin\java.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe ()
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
PRC - C:\Programme\Ipswitch\WS_FTP 12\WsftpCOMHelper.exe (Ipswitch)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\WINDOWS\vVX1000.exe (Microsoft Corporation)
PRC - C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)
PRC - C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE (Microsoft Corporation)
PRC - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (Adobe Systems Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-981261687-363558514-1002934090-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-981261687-363558514-1002934090-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fuelpilot-bosch
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {085804F6-522F-4D5E-A45D-14E6F60E9E21}:1.9.1
FF - prefs.js..network.proxy.no_proxies_on: "fuelpilot-bosch"
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{085804F6-522F-4D5E-A45D-14E6F60E9E21}: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21} [2010.09.09 22:00:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\extensions\\{BBB87675-DA74-4161-9D62-0FCB4617181E}: C:\Dokumente und Einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.20 17:13:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.20 17:13:26 | 000,000,000 | ---D | M]
 
[2010.08.30 19:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions
[2010.08.30 19:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2010.09.20 08:02:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3tulcjol.default\extensions
[2010.05.24 19:08:37 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3tulcjol.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.20 08:02:02 | 000,001,595 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3tulcjol.default\searchplugins\ixquick---deutsch.xml
[2010.09.20 08:02:02 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.09.15 21:35:30 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.09.15 21:35:12 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.08.25 02:44:54 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.25 02:44:54 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.25 02:44:54 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.25 02:44:54 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.25 02:44:54 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2007.01.28 19:42:51 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (HelperObject Class) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll (TechSmith Corporation)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll (TechSmith Corporation)
O3 - HKU\S-1-5-21-981261687-363558514-1002934090-1006\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [LifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe ( )
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VX1000] C:\WINDOWS\vVX1000.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe File not found
O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe File not found
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO HD Edition.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe (Panasonic Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-981261687-363558514-1002934090-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169068222781 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.18 12:40:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{c9c2b198-b45c-11df-8139-001060d00183}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: perfeset - (C:\WINDOWS\system32\regisort.dll) - C:\WINDOWS\System32\regisort.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.20 17:22:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2010.09.20 08:06:22 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.20 08:06:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.20 08:06:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.20 08:06:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.16 19:09:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.09.16 18:55:25 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent
[2010.09.16 18:52:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.09.15 21:35:48 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.09.15 21:35:29 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.09.15 21:35:29 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.09.15 21:35:29 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.09.15 21:35:29 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.09.15 21:34:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2010.09.15 21:34:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\NPE
[2010.09.15 21:11:42 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.09.15 18:25:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore
[2010.09.09 22:02:11 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys
[2010.09.09 22:00:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21}
[2010.08.30 19:42:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\TomTom
[2010.08.30 19:42:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010.08.30 19:41:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\TomTom
[2010.08.30 19:41:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TomTom
[2010.08.30 19:41:22 | 000,000,000 | ---D | C] -- C:\Programme\TomTom International B.V
[2010.08.30 19:41:09 | 000,000,000 | ---D | C] -- C:\Programme\TomTom HOME 2
[2010.08.30 19:34:25 | 000,000,000 | ---D | C] -- C:\Programme\TomTom DesktopSuite
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.20 17:10:33 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.20 17:10:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.20 17:10:28 | 2145,570,816 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.20 08:13:25 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[2010.09.20 08:03:49 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.15 21:56:34 | 000,001,715 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.09.15 21:39:40 | 000,001,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.09.15 21:35:12 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.09.15 21:35:12 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.09.15 21:35:12 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.09.15 21:35:12 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.09.15 21:35:12 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.09.15 21:02:43 | 000,724,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\avenger.zip
[2010.09.15 18:25:10 | 000,000,184 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2010.09.09 21:59:03 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat
[2010.09.09 21:58:46 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat
[2010.09.09 18:21:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.09.08 17:36:56 | 004,555,622 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\P1010963.JPG
[2010.09.05 13:46:08 | 000,720,501 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ard_rington_tatort.mp3
[2010.09.01 17:51:31 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini
[2010.08.31 11:15:01 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2010.08.29 19:00:44 | 001,084,024 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.29 19:00:44 | 000,464,622 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.29 19:00:44 | 000,445,918 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.29 19:00:44 | 000,086,826 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.29 19:00:44 | 000,073,124 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.28 09:05:26 | 000,001,490 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\DivX Movies.lnk
[2010.08.28 09:05:15 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk
[2010.08.26 20:43:39 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.15 21:02:32 | 000,724,952 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\avenger.zip
[2010.09.15 18:25:10 | 000,000,184 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2010.09.09 21:58:51 | 000,000,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat
[2010.09.09 21:58:46 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat
[2010.09.08 17:36:56 | 004,555,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\P1010963.JPG
[2010.08.28 09:05:15 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk
[2009.11.14 14:24:22 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\$_hpcst$.hpc
[2009.10.07 10:59:08 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009.04.29 17:43:25 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2007.10.29 21:24:52 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.03.25 15:14:31 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.03.02 22:56:30 | 000,000,039 | ---- | C] () -- C:\WINDOWS\MB.ini
[2007.02.27 10:17:28 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS3m.DLL
[2007.02.04 13:18:50 | 000,003,072 | ---- | C] () -- C:\WINDOWS\tm.ini
[2007.02.03 13:20:17 | 000,000,867 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2007.02.03 13:06:58 | 000,000,244 | ---- | C] () -- C:\WINDOWS\BUHL.INI
[2007.02.03 12:55:45 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2007.02.03 12:55:41 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\adistres.dll
[2007.02.02 23:50:18 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.01.28 19:15:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.01.17 23:07:04 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.01.17 18:43:47 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.12.18 14:07:51 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.12.18 13:35:51 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2006.12.18 13:33:43 | 000,002,856 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2006.12.18 13:33:20 | 000,000,180 | ---- | C] () -- C:\WINDOWS\Option.ini
[2006.12.18 13:25:28 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2006.12.18 12:43:19 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.12.18 12:38:46 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2006.04.27 12:19:01 | 000,015,498 | ---- | C] () -- C:\WINDOWS\VX1000.ini
[2005.09.02 14:44:00 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2005.07.22 21:30:00 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll
[2004.07.20 17:04:00 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll
[2004.01.15 14:43:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.12.03 15:48:36 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll
[2001.12.03 15:48:36 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll
[2001.12.03 15:48:36 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll
[2001.12.03 15:48:36 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll
[2001.12.03 15:48:36 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll
[2001.12.03 15:48:36 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll
[2001.12.03 15:48:36 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll
[2001.12.03 15:48:32 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys
[2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll
[2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll
[2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll
[2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll
[2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll
[2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll
[2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll
[2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll
[2000.03.30 14:38:13 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll
[2000.03.30 14:38:13 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll
[2000.03.30 14:38:13 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll
[2000.03.30 14:38:13 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll
[2000.03.30 14:38:13 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll
[2000.03.30 14:32:14 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\property.dll
< End of report >
--- --- ---

[/code]

cosinus 20.09.2010 18:20
Zitat:
Kann jemand helfen, wie ich nun die letzten drei auch noch eliminieren kann?
Warum entfernst Du die nicht mit malwarebytes :confused:

baden 20.09.2010 18:58
Hi,
sorry für die dumme Frage, ich habe die drei über malwarebytes gelöscht.

Was ich eigentlich meinte, kann mir jemand sagen und helfen, warum ich mit anderen Programmen dauernd neue Viren/Trojaner finde. Da muss es doch in meinem System noch irgendwas geben, was sich hartnäckig gegen Virenprogramme wehrt.

Und so meinte ich eigentlich, ob jemand da noch einen Hinweis aus meinen Logfiles findet oder ob jemand sagen kann, die sehen jetzt eigentlich ganz gut - vermutlich virenfrei

Sorry und Danke
Jetzt

cosinus 20.09.2010 19:03
Zitat:
Was ich eigentlich meinte, kann mir jemand sagen und helfen, warum ich mit anderen Programmen dauernd neue Viren/Trojaner finde. Da muss es doch in meinem System noch irgendwas geben, was sich hartnäckig gegen Virenprogramme wehrt.
Nun bleib doch mal geduldig und geschmeidig!! :wtf:
Keiner hat gesagt, dass eine Bereinigung in 3 Minuten erledigt sei! Außerdem musst Du schon posten, was zwischenzeitlich gefunden wird!

baden 20.09.2010 19:10
Hi, sorry, ich wollte nicht ungeduldig erscheinen, ich hatte mich nur über meine missverständlichen Äußerungen geärgert, denn nun (siehe Forenregeln) hatten wir eine "unsinnige Korrespondenz.

Also ich lasse jetzt noch mal malwarebytes laufen. Mit den anderen Programme (Antivir und hijackthis) nicht mehr gefunden.

Soll ich auch OTL nochmal laufen lassen?

Danke

baden 20.09.2010 20:07
nun habe ich mit Malwarebytes noch einen Suchlauf gestartet. Gefunden hat er nichts, hier mal das Logfile.

Darf ich mich jetzt glücklich schätzen und befreit fühlen?

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4654

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

20.09.2010 21:04:17
mbam-log-2010-09-20 (21-04-17).txt

Scan type: Full scan (C:\|)
Objects scanned: 215263
Time elapsed: 57 minute(s), 53 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Danke

cosinus 20.09.2010 21:14
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O33 - MountPoints2\{c9c2b198-b45c-11df-8139-001060d00183}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found
O36 - AppCertDlls: perfeset - (C:\WINDOWS\system32\regisort.dll) - C:\WINDOWS\System32\regisort.dll File not found
[2010.09.09 22:00:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21}
[2010.09.09 21:59:03 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat
[2010.09.09 21:58:46 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

baden 21.09.2010 17:59
Hallo Arne,

hier das Logfile.
Aber leider scheint OTL nicht alles gefunden zu haben.
Sieht mein Rechner nun besser aus?

Woher weißt Du/man, dass man ein paar bestimmte Zeilen aus dem Logfile auf diesen oder jenen Virus hinweisen? Ist das nur Erfahrung oder gibt es da Indizien?

Danke

Code:
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9c2b198-b45c-11df-8139-001060d00183}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9c2b198-b45c-11df-8139-001060d00183}\ not found.
File E:\InstallTomTomHOME.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\perfeset:C:\WINDOWS\system32\regisort.dll deleted successfully.
Folder C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21}\ not found.
File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat not found.
File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 544700976 bytes
->Temporary Internet Files folder emptied: 6221857 bytes
->Java cache emptied: 58542 bytes
->FireFox cache emptied: 68320339 bytes
->Flash cache emptied: 6011 bytes
 
User: All Users
 
User: Claudia
->Temp folder emptied: 227063367 bytes
->Temporary Internet Files folder emptied: 18305792 bytes
->Java cache emptied: 106475068 bytes
->FireFox cache emptied: 65475715 bytes
->Apple Safari cache emptied: 6241280 bytes
->Flash cache emptied: 1886031 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5061994 bytes
 
User: SuperAdmin
->Temp folder emptied: 910833 bytes
->Temporary Internet Files folder emptied: 59536 bytes
->FireFox cache emptied: 4685146 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 4511623 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 20587790 bytes
RecycleBin emptied: 576000 bytes
 
Total Files Cleaned = 1.031,00 mb
 
 
OTL by OldTimer - Version 3.2.12.1 log created on 09212010_184832

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 21.09.2010 18:23
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

baden 21.09.2010 19:05
Hallo,

hat alles soweit funktioniert. Allerdings habe ich Antivir wieder gestartet, bevor ich Firefox wieder geöffnet habe, ich hoffe, dass war okay.


Combofix Logfile:
Code:
ComboFix 10-09-20.07 - SuperAdmin 21.09.2010  19:54:32.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1456 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\SuperAdmin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Admin\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\Claudia\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\chrome.manifest
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\install.rdf

.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-21 bis 2010-09-21  ))))))))))))))))))))))))))))))
.

2010-09-21 16:56 . 2010-09-21 16:56        503808        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1275fc1e-n\msvcp71.dll
2010-09-21 16:56 . 2010-09-21 16:56        499712        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1275fc1e-n\jmc.dll
2010-09-21 16:56 . 2010-09-21 16:56        348160        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1275fc1e-n\msvcr71.dll
2010-09-21 16:56 . 2010-09-21 16:56        61440        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12d3ad8f-n\decora-sse.dll
2010-09-21 16:56 . 2010-09-21 16:56        12800        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12d3ad8f-n\decora-d3d.dll
2010-09-21 16:43 . 2010-09-21 16:43        --------        d-----w-        C:\_OTL
2010-09-20 15:22 . 2010-09-20 15:22        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2010-09-20 06:07 . 2010-09-20 06:07        --------        d-----w-        c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-20 06:06 . 2010-09-20 06:06        --------        d-----w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Malwarebytes
2010-09-20 06:06 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-20 06:06 . 2010-09-20 06:06        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-20 06:06 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-20 06:06 . 2010-09-20 06:06        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-09-20 06:04 . 2010-09-21 16:46        --------        d-----w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Ipswitch
2010-09-20 06:04 . 2010-09-20 06:04        --------        d-----w-        c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Apple Computer
2010-09-20 06:04 . 2010-09-20 06:04        --------        d-----w-        c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-09-16 16:52 . 2010-09-21 17:32        --------        d-----w-        c:\programme\CCleaner
2010-09-15 19:35 . 2010-09-15 19:35        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-09-15 19:34 . 2010-09-15 19:34        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-09-15 19:34 . 2010-09-15 19:54        --------        d-----w-        c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 16:25 . 2010-09-15 16:25        --------        d-----w-        c:\windows\system32\MpEngineStore
2010-09-09 21:24 . 2010-09-09 21:24        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-09-09 20:02 . 2008-04-13 18:40        34688        -c--a-w-        c:\windows\system32\dllcache\lbrtfdc.sys
2010-09-09 20:02 . 2008-04-13 18:40        34688        ----a-w-        c:\windows\system32\drivers\lbrtfdc.sys
2010-09-09 20:01 . 2008-04-13 18:41        8576        -c--a-w-        c:\windows\system32\dllcache\i2omgmt.sys
2010-09-09 20:01 . 2008-04-13 18:41        8576        ----a-w-        c:\windows\system32\drivers\i2omgmt.sys
2010-09-09 20:00 . 2008-04-13 18:40        8192        -c--a-w-        c:\windows\system32\dllcache\changer.sys
2010-08-30 17:48 . 2010-08-30 17:48        20332736        ----a-w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\TomTom\HOME\Profiles\v3ezg27h.default\Updates\v2_7_6_2056_win.exe
2010-08-30 17:42 . 2010-08-30 17:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TomTom
2010-08-30 17:41 . 2010-08-30 17:41        --------        d-----w-        c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\TomTom
2010-08-30 17:41 . 2010-08-30 17:41        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\TomTom
2010-08-30 17:41 . 2010-08-30 17:41        --------        d-----w-        c:\programme\TomTom International B.V
2010-08-30 17:41 . 2010-08-30 17:41        --------        d-----w-        c:\programme\TomTom HOME 2
2010-08-30 17:34 . 2010-08-30 17:34        --------        d-----w-        c:\programme\TomTom DesktopSuite
2010-08-28 07:05 . 2010-08-28 07:01        185640        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\finishPlugin.dll
2010-08-28 07:05 . 2010-08-28 07:05        56765        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05        56997        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05        53600        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05        57691        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05        84063        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05        54153        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-08-28 07:01 . 2010-08-28 07:01        144696        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 16:18 . 2007-01-21 13:05        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype
2010-09-20 16:12 . 2010-06-12 20:51        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\skypePM
2010-09-20 06:04 . 2010-09-20 06:03        74232        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-20 06:03 . 2010-09-20 06:03        143        ----a-w-        c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-09-15 19:35 . 2010-05-24 09:52        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-09-15 19:24 . 2007-01-21 19:15        --------        d-----w-        c:\programme\Java
2010-09-10 13:55 . 2010-09-10 13:55        24        ----a-w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
2010-08-29 17:00 . 2000-03-30 12:32        86826        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-29 17:00 . 2000-03-30 12:32        464622        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-28 07:08 . 2010-07-17 22:01        57344        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-08-28 07:05 . 2010-07-17 21:56        --------        d-----w-        c:\programme\DivX
2010-08-28 07:05 . 2010-07-17 21:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-28 07:01 . 2010-07-17 22:00        1062184        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-08-28 07:01 . 2010-07-17 22:00        850200        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-08-26 18:43 . 2010-04-11 12:46        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-08-17 13:17 . 2000-03-30 12:32        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-08-15 10:37 . 2010-08-15 10:37        --------        d-----w-        c:\programme\iTunes
2010-08-15 10:37 . 2010-08-15 10:37        --------        d-----w-        c:\programme\iPod
2010-08-15 10:37 . 2007-09-23 11:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-08-15 10:33 . 2010-08-15 10:33        --------        d-----w-        c:\programme\Bonjour
2010-08-15 10:28 . 2010-08-15 10:28        73000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-08-15 09:25 . 2010-08-15 09:25        503808        ----a-w-        c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-300633f9-n\msvcp71.dll
2010-08-15 09:25 . 2010-08-15 09:25        499712        ----a-w-        c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-300633f9-n\jmc.dll
2010-08-15 09:25 . 2010-08-15 09:25        348160        ----a-w-        c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-300633f9-n\msvcr71.dll
2010-08-15 09:25 . 2010-08-15 09:25        61440        ----a-w-        c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3a9ac2db-n\decora-sse.dll
2010-08-15 09:25 . 2010-08-15 09:25        12800        ----a-w-        c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3a9ac2db-n\decora-d3d.dll
2010-08-05 17:22 . 2010-08-05 17:22        503808        ----a-w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42207a48-n\msvcp71.dll
2010-08-05 17:22 . 2010-08-05 17:22        499712        ----a-w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42207a48-n\jmc.dll
2010-08-05 17:22 . 2010-08-05 17:22        348160        ----a-w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42207a48-n\msvcr71.dll
2010-08-05 17:22 . 2010-08-05 17:22        61440        ----a-w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3f0cc489-n\decora-sse.dll
2010-08-05 17:22 . 2010-08-05 17:22        12800        ----a-w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3f0cc489-n\decora-d3d.dll
2010-08-01 16:19 . 2007-04-10 17:35        --------        d-----w-        c:\programme\Microsoft LifeCam
2010-07-22 15:48 . 2000-03-30 12:32        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2010-07-17 21:59 . 2010-07-17 21:59        57054        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        54166        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        57532        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        56458        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        54174        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        54128        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        54644        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        57409        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        54101        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        52963        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        54073        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59        56969        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2000-03-30 12:32        149504        ----a-w-        c:\windows\system32\schannel.dll
2010-06-24 12:15 . 2000-03-30 12:32        832512        ----a-w-        c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2000-03-30 12:31        78336        ----a-w-        c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2000-03-30 12:31        17408        ------w-        c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2000-03-30 12:32        1852032        ----a-w-        c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" [2006-01-20 544768]
"Muscbrigade"="c:\musicbrigade\Musicbrigade.exe" [2005-12-20 40960]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]
"VX1000"="c:\windows\vVX1000.exe" [2006-10-13 707376]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-04-13 47392]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-21 141608]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-2-3 49254]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-2-3 110592]
PHOTOfunSTUDIO HD Edition.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe [2009-10-7 44176]
WISO Mein Sparbuch heute.lnk - c:\programme\WISO\Sparbuch 2010\meinsparbuchheute.exe [2010-1-5 1156392]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [05.08.2005 10:51 34144]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [19.12.2005 17:15 28800]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.10.2009 11:57 108289]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 13:31 92008]
S0 zumttt;zumttt; [x]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [18.12.2006 13:36 1527900]
.
Inhalt des "geplante Tasks" Ordners

2010-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Mozilla\Firefox\Profiles\84kx7ly6.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-09-21  20:00:05
ComboFix-quarantined-files.txt  2010-09-21 18:00

Vor Suchlauf: 23 Verzeichnis(se), 71.944.294.400 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 76.149.272.576 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 3EBBDE81FF017B63E78158CC35309375
--- --- ---

cosinus 22.09.2010 09:05
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Dirlook::
C:\_OTL

Driver::
zumttt
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19