Google Seiten wurden umgeleitet -> Log-File Check
 

Hallo zusammen,

ich hatte mir wohl ein Rootkit oder Trojaner eingefangen und habe nach den Tipps hier aus dem Board diverse Maßnahmen durchprobiert:
- AV 10 Scan und Fix
- Ad-Aware an und Fix
- Malwarebytes Anty-Malware Scan und Fix
- Hijack This Analysiert und einiges rausgeschmissen

Bei jedem Scan wurden mehrere Funde gemeldet, wobei es mir jedesmal gelang, diese auch zu löschen. Alle Scans melden nun keine Funde mehr. Es wäre nun phantastisch, wenn einer der Profis hier einen kurzen Blick auf mein HJT Log werfen könnte.


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:57:12, on 24.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Hijack\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.heise.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*hxxp://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P40 "EPSON Stylus Photo R200 Series (Kopie 1)" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\web\AOpenClient.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Der Dienst STI-Simulator gehört zu einer Webcam.
LVCOMS gehört zu meiner Logitech Webcam
Und ich lasse AntiVir und Ad-Aware parallel laufen. Habe seit dieser Infektion irgendwie Angst bekommen :-)

Vielen lieben Dank für Hilfe und Rat im Vorraus !

Herzliche Grüße
Olaf

Dann bitte auch davon alle Logs posten!! Hijackthis ist sinnfrei!

No Problem... mache ich gerne.
Scan-Settings habe ich rausgenommen, da sonst endlos lang.

Beginn mit Avira Gestern um 11:00 Uhr mit drei Funden

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. September 2010 11:09

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ovonwack

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 09:36:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 09:36:36
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:32:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:32:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:02:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 10:15:01
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:32:36
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:08:40
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 08:59:10
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:08:23
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:05:57
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 08:05:57
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 08:05:57
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 08:05:57
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 08:05:57
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 08:05:57
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 09:44:32
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 08:04:37
VBASE016.VDF : 7.10.11.232 2048 Bytes 21.09.2010 08:04:37
VBASE017.VDF : 7.10.11.233 2048 Bytes 21.09.2010 08:04:38
VBASE018.VDF : 7.10.11.234 2048 Bytes 21.09.2010 08:04:38
VBASE019.VDF : 7.10.11.235 2048 Bytes 21.09.2010 08:04:38
VBASE020.VDF : 7.10.11.236 2048 Bytes 21.09.2010 08:04:38
VBASE021.VDF : 7.10.11.237 2048 Bytes 21.09.2010 08:04:38
VBASE022.VDF : 7.10.11.238 2048 Bytes 21.09.2010 08:04:38
VBASE023.VDF : 7.10.11.239 2048 Bytes 21.09.2010 08:04:38
VBASE024.VDF : 7.10.11.240 2048 Bytes 21.09.2010 08:04:38
VBASE025.VDF : 7.10.11.241 2048 Bytes 21.09.2010 08:04:38
VBASE026.VDF : 7.10.11.242 2048 Bytes 21.09.2010 08:04:38
VBASE027.VDF : 7.10.11.243 2048 Bytes 21.09.2010 08:04:38
VBASE028.VDF : 7.10.11.244 2048 Bytes 21.09.2010 08:04:38
VBASE029.VDF : 7.10.11.245 2048 Bytes 21.09.2010 08:04:38
VBASE030.VDF : 7.10.11.246 2048 Bytes 21.09.2010 08:04:38
VBASE031.VDF : 7.10.12.1 116736 Bytes 22.09.2010 08:04:39
Engineversion : 8.2.4.60
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 10:31:46
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 19.09.2010 09:44:35
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 20:26:05
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:25:03
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 08:04:40
AEPACK.DLL : 8.2.3.7 471413 Bytes 19.09.2010 09:44:34
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:08:26
AEHEUR.DLL : 8.1.2.26 2916727 Bytes 19.09.2010 09:44:34
AEHELP.DLL : 8.1.13.3 242038 Bytes 29.08.2010 12:07:49
AEGEN.DLL : 8.1.3.22 401780 Bytes 19.09.2010 09:44:33
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:25:02
AECORE.DLL : 8.1.16.2 192887 Bytes 25.07.2010 16:08:25
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:25:02
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 09:36:36
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 09:36:36
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 09:36:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 09:36:36

Beginn des Suchlaufs: Donnerstag, 23. September 2010 11:09

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Sun\Java'
C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\2104d307-72b42c5b
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\2104d307-72b42c5b
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Donnerstag, 23. September 2010 11:11
Benötigte Zeit: 00:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

156 Verzeichnisse wurden überprüft
18096 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
18093 Dateien ohne Befall
131 Archive wurden durchsucht
0 Warnungen
0 Hinweise



Hier der AdAware Scan von 15:00 Uhr. Gefunden und beseitigt wurde "Win32.Adware.Agent" und "Wub32.Backdoor.Papras/A".


Logfile created: 23.09.2010 14:48:17
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770

*********************** Definitions database information ***********************
Lavasoft definition file: 150.97
Genotype definition file version: 2010/09/21 06:44:54
Extended engine definition file: 6915.0

******************************** Scan results: *********************************
Scan profile name: Vollständiger Scan (ID: full)
Objects scanned: 107430
Objects detected: 2


Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 1
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0



Quarantined items:
Description: c:\windows\system32\dvdpgsvc.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: c:\dokumente und einstellungen\ovonwack\lokale einstellungen\temp\comver.dll Family Name: Win32.Adware.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 53 MD5: c5351ec4918e350125a1524f853d0a90


****************************** System information ******************************
Running processes:
PID: 400 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 464 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 496 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 544 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 780 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 796 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 856 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 924 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 988 name: C:\WINDOWS\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1076 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1168 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1284 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1328 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1388 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1484 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1500 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1532 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1676 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1736 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1764 name: C:\WINDOWS\system32\PnkBstrB.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1812 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1880 name: C:\WINDOWS\System32\PAStiSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1904 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1956 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 176 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1024 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2052 name: C:\WINDOWS\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2076 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2516 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 3100 name: C:\WINDOWS\Explorer.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3276 name: C:\WINDOWS\system32\nvraidservice.exe owner: ovonwack domain: NOBELHOBEL
PID: 3380 name: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3460 name: C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe owner: ovonwack domain: NOBELHOBEL
PID: 3488 name: C:\WINDOWS\SOUNDMAN.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3500 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: ovonwack domain: NOBELHOBEL
PID: 3660 name: C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3704 name: C:\WINDOWS\system32\ctfmon.exe owner: ovonwack domain: NOBELHOBEL
PID: 3744 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: ovonwack domain: NOBELHOBEL
PID: 2228 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 2232 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 772 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: ovonwack domain: NOBELHOBEL

Startup items:
Name: NVRaidService
imagepath: C:\WINDOWS\system32\nvraidservice.exe
Name: NeroFilterCheck
imagepath: C:\WINDOWS\system32\NeroCheck.exe
Name: LVCOMS
imagepath: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
Name: CTFMON.EXE
imagepath: C:\WINDOWS\System32\CTFMON.EXE
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
imagepath: C:\Programme\Microsoft Office\Office\OSA9.EXE

Bootexecute items:
Name:
imagepath: autocheck autochk *

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: Ati HotKey Poller
displayname: Ati HotKey Poller
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Bonjour-Dienst
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: HidServ
displayname: HID Input Service
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PnkBstrA
displayname: PnkBstrA
Name: PnkBstrB
displayname: PnkBstrB
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: SSHNAS
displayname: SSHNAS
Name: STI Simulator
displayname: STI Simulator
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung


Dann nochmals ein Scan mit Avira um 15:20 Uhr mit wiederum drei Funden:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. September 2010 15:17

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM


Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 09:36:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 09:36:36
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:32:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:32:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:02:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 10:15:01
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:32:36
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:08:40
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 08:59:10
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:08:23
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:05:57
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 08:05:57
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 08:05:57
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 08:05:57
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 08:05:57
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 08:05:57
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 09:44:32
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 08:04:37
VBASE016.VDF : 7.10.11.232 2048 Bytes 21.09.2010 08:04:37
VBASE017.VDF : 7.10.11.233 2048 Bytes 21.09.2010 08:04:38
VBASE018.VDF : 7.10.11.234 2048 Bytes 21.09.2010 08:04:38
VBASE019.VDF : 7.10.11.235 2048 Bytes 21.09.2010 08:04:38
VBASE020.VDF : 7.10.11.236 2048 Bytes 21.09.2010 08:04:38
VBASE021.VDF : 7.10.11.237 2048 Bytes 21.09.2010 08:04:38
VBASE022.VDF : 7.10.11.238 2048 Bytes 21.09.2010 08:04:38
VBASE023.VDF : 7.10.11.239 2048 Bytes 21.09.2010 08:04:38
VBASE024.VDF : 7.10.11.240 2048 Bytes 21.09.2010 08:04:38
VBASE025.VDF : 7.10.11.241 2048 Bytes 21.09.2010 08:04:38
VBASE026.VDF : 7.10.11.242 2048 Bytes 21.09.2010 08:04:38
VBASE027.VDF : 7.10.11.243 2048 Bytes 21.09.2010 08:04:38
VBASE028.VDF : 7.10.11.244 2048 Bytes 21.09.2010 08:04:38
VBASE029.VDF : 7.10.11.245 2048 Bytes 21.09.2010 08:04:38
VBASE030.VDF : 7.10.11.246 2048 Bytes 21.09.2010 08:04:38
VBASE031.VDF : 7.10.12.1 116736 Bytes 22.09.2010 08:04:39
Engineversion : 8.2.4.60
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 10:31:46
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 19.09.2010 09:44:35
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 20:26:05
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:25:03
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 08:04:40
AEPACK.DLL : 8.2.3.7 471413 Bytes 19.09.2010 09:44:34
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:08:26
AEHEUR.DLL : 8.1.2.26 2916727 Bytes 19.09.2010 09:44:34
AEHELP.DLL : 8.1.13.3 242038 Bytes 29.08.2010 12:07:49
AEGEN.DLL : 8.1.3.22 401780 Bytes 19.09.2010 09:44:33
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:25:02
AECORE.DLL : 8.1.16.2 192887 Bytes 25.07.2010 16:08:25
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:25:02
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 09:36:36
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 09:36:36
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 09:36:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 09:36:36

Beginn des Suchlaufs: Donnerstag, 23. September 2010 15:17

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\e.exe'
C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\e.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f83f2c6.qua' verschoben!
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PRR7H94E\user15_an102[1].exe'
C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PRR7H94E\user15_an102[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5714dd26.qua' verschoben!
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\AcrA8E0.tmp'
C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\AcrA8E0.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.CM
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '054687fe.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 23. September 2010 15:17
Benötigte Zeit: 00:19 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
44 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
41 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
3 Hinweise


Danach nochmal um 16:00 Uhr gescant und er hat 17 Cookies angemerkt, die ich komplet beseitigt habe. Keine weiteren Funde.


Logfile created: 23.09.2010 16:00:58
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ovonwack

*********************** Definitions database information ***********************
Lavasoft definition file: 150.97
Genotype definition file version: 2010/09/21 06:44:54
Extended engine definition file: 6915.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 93177
Objects detected: 43


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 43
Browser hijacks.: 0
MRU objects.....: 0



Removed items:
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409247 Family ID: 0
Description: *tradedoubler* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408964 Family ID: 0
Description: *2o7* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408943 Family ID: 0
Description: *ad.yieldmanager* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409172 Family ID: 0
Description: *adfarm1.adition* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409171 Family ID: 0
Description: *adserver* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408737 Family ID: 0
Description: *adserv* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408921 Family ID: 0
Description: *adserve* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409020 Family ID: 0
Description: *adtech* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409018 Family ID: 0
Description: *advertis* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408918 Family ID: 0
Description: *advertising* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409017 Family ID: 0
Description: *adviva* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409016 Family ID: 0
Description: *apmebf* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409163 Family ID: 0
Description: *.falkag* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409077 Family ID: 0
Description: *as1.falkag* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408913 Family ID: 0
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *bfast* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408907 Family ID: 0
Description: *bizrate.co* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409154 Family ID: 0
Description: *casalemedia* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409152 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408875 Family ID: 0
Description: *omniture* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408835 Family ID: 0
Description: *.stats.esomniture* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409181 Family ID: 0
Description: *hitbox* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408858 Family ID: 0
Description: *.hitbox* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409072 Family ID: 0
Description: *fastclick* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408869 Family ID: 0
Description: *.lycos* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408930 Family ID: 0
Description: *indextools* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409194 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409247 Family ID: 0
Description: *estat* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408873 Family ID: 0
Description: *webtrends* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 599640 Family ID: 0
Description: *mediaplex* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408991 Family ID: 0
Description: *nextstat* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409229 Family ID: 0
Description: *serving-sys* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409130 Family ID: 0
Description: *statcounter* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409185 Family ID: 0
Description: *statse.webtrends* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408803 Family ID: 0
Description: *webtrendslive* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408954 Family ID: 0
Description: *.webtrendslive* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409033 Family ID: 0
Description: *statse.webtrendslive* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409269 Family ID: 0
Description: *tacoda* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409123 Family ID: 0
Description: *tribalfusion* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408785 Family ID: 0
Description: *valueclick* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409175 Family ID: 0
Description: *.counter-gratis* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409082 Family ID: 0

Scan and cleaning complete: Finished correctly after 601 seconds

****************************** System information ******************************
Running processes:
PID: 400 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 476 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 512 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 568 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 756 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 772 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 824 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 900 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 984 name: C:\WINDOWS\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1028 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1068 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1152 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1264 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1320 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1380 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1808 name: C:\WINDOWS\Explorer.EXE owner: ovonwack domain: NOBELHOBEL
PID: 1900 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1928 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1972 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 192 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 316 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 420 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 784 name: C:\WINDOWS\system32\PnkBstrB.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 956 name: C:\WINDOWS\System32\PAStiSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1176 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1104 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1688 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2092 name: C:\WINDOWS\system32\nvraidservice.exe owner: ovonwack domain: NOBELHOBEL
PID: 2140 name: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2192 name: C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe owner: ovonwack domain: NOBELHOBEL
PID: 2200 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2220 name: C:\WINDOWS\SOUNDMAN.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2232 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: ovonwack domain: NOBELHOBEL
PID: 2252 name: C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2284 name: C:\WINDOWS\system32\ctfmon.exe owner: ovonwack domain: NOBELHOBEL
PID: 2336 name: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe owner: ovonwack domain: NOBELHOBEL
PID: 2524 name: C:\WINDOWS\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2880 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3716 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 3724 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 1980 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: ovonwack domain: NOBELHOBEL
PID: 3464 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: ovonwack domain: NOBELHOBEL

Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: NVRaidService
imagepath: C:\WINDOWS\system32\nvraidservice.exe
Name: NeroFilterCheck
imagepath: C:\WINDOWS\system32\NeroCheck.exe
Name: LVCOMS
imagepath: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
Name: CTFMON.EXE
imagepath: C:\WINDOWS\System32\CTFMON.EXE
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
imagepath: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
imagepath: C:\Programme\Microsoft Office\Office\OSA9.EXE

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: Ati HotKey Poller
displayname: Ati HotKey Poller
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Bonjour-Dienst
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: HidServ
displayname: HID Input Service
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PnkBstrA
displayname: PnkBstrA
Name: PnkBstrB
displayname: PnkBstrB
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: SSHNAS
displayname: SSHNAS
Name: STI Simulator
displayname: STI Simulator
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung


Dann Scan mit Anti-Malware mit drei Funden:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4681

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 11:26:15
mbam-log-2010-09-24 (11-26-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167555
Laufzeit: 6 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Und nochmal ein abschließernder Scan zur Kontrolle:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4681

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 11:40:01
mbam-log-2010-09-24 (11-40-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167690
Laufzeit: 7 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Danach wurden keine Google Ergebnisse mehr umgeleitet und ich habe das HJT Log oben erstellt.

Herzliche Grüße
Olaf

Ergänzungen folgen....

Hier ein letzter, eben durchgeführter Scan von Ad-Aware ohne Funde:


Logfile created: 24.09.2010 14:17:37
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ovonwack

*********************** Definitions database information ***********************
Lavasoft definition file: 150.97
Genotype definition file version: 2010/09/21 06:44:54
Extended engine definition file: 6915.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 92814
Objects detected: 0


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0

Scan and cleaning complete: Finished correctly after 585 seconds

****************************** System information ******************************
Processor name: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Processor identifier: x86 Family 15 Model 35 Stepping 2
Processor speed: ~2216MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 15, processor revision 8962, number of processors 2, processor features: [MMX,SSE,SSE2,3DNow]
Physical memory available: 1355366400 bytes
Physical memory total: 2146934784 bytes
Virtual memory available: 1878257664 bytes
Virtual memory total: 2147352576 bytes
Memory load: 36%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 412 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 480 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 512 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 568 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 744 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 764 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 824 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 900 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 988 name: C:\WINDOWS\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1032 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1072 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1156 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1272 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1320 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1396 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1812 name: C:\WINDOWS\Explorer.EXE owner: ovonwack domain: NOBELHOBEL
PID: 1988 name: C:\WINDOWS\system32\nvraidservice.exe owner: ovonwack domain: NOBELHOBEL
PID: 2004 name: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2044 name: C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe owner: ovonwack domain: NOBELHOBEL
PID: 164 name: C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE owner: ovonwack domain: NOBELHOBEL
PID: 176 name: C:\WINDOWS\SOUNDMAN.EXE owner: ovonwack domain: NOBELHOBEL
PID: 216 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: ovonwack domain: NOBELHOBEL
PID: 276 name: C:\WINDOWS\system32\ctfmon.exe owner: ovonwack domain: NOBELHOBEL
PID: 452 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 472 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 704 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 928 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1232 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1676 name: C:\WINDOWS\system32\PnkBstrB.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1716 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1124 name: C:\WINDOWS\System32\PAStiSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1940 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1980 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2540 name: C:\Programme\Mozilla Firefox\firefox.exe owner: ovonwack domain: NOBELHOBEL
PID: 2684 name: C:\WINDOWS\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2688 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3120 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3716 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 3724 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 1620 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: ovonwack domain: NOBELHOBEL
PID: 2264 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: ovonwack domain: NOBELHOBEL

Startup items:
Name: NVRaidService
imagepath: C:\WINDOWS\system32\nvraidservice.exe
Name: NeroFilterCheck
imagepath: C:\WINDOWS\system32\NeroCheck.exe
Name: LVCOMS
imagepath: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: CTFMON.EXE
imagepath: C:\WINDOWS\System32\CTFMON.EXE
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
imagepath: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
imagepath: C:\Programme\Microsoft Office\Office\OSA9.EXE

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: Ati HotKey Poller
displayname: Ati HotKey Poller
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Bonjour-Dienst
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: HidServ
displayname: HID Input Service
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PnkBstrA
displayname: PnkBstrA
Name: PnkBstrB
displayname: PnkBstrB
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: STI Simulator
displayname: STI Simulator
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

HA... da hat Anti-Malware doch glatt noch was gefunden und beseitigt.

Hier das Anti-Malware Log:

und hier das Log von OTL:

[CODE]
OTL EXTRAS Logfile:OTL Logfile:OTL Logfile:
--- --- ---

--- --- ---

--- --- ---


Und hier die Extras.txt:

OTL Logfile:
OTL Logfile:
--- --- ---

--- --- ---

--- --- ---

Nachtrag

Folgende Datei aus dem OTL Scan kam mir merkwürdig vor:
========== Files Created - No Company Name ==========
[2010.09.24 15:45:43 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\wyfuxew.sys

Datei existiert nicht. System- und versteckte Dateien werden im Explorer angezeigt.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

habe ich gemacht und hier ist das Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

CCleaner und ComboFix sind durch. Hier das Log:

Combofix Logfile:
Avira Guard war definitiv während des CF Scans aus.

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hier das GMER-Log:


GMER Logfile:
--- --- ---


Hier das OSAM Log:

OSAM Logfile:
--- --- ---



Hier das Log von Bootkit-remover

Keine Ahnung, warum das kommt. Alle anderen Scanner melden das der MBR clean ist. Ich bekomme beim Start von Bootkit-Remover eine Meldung, dass ATA_PASSTHROUGH nicht bei mir unterstützt wird (Normale eSATA Platten) und stattdessen SCSI_PASSTHROUGH verwendet wird... auch wenn ich keine SCSI Platten habe. Siehe hierzu auch angehängtes Bild. Vermute hier eher einen Bug in der Software. Einen fix des MBR habe ich mit dem remover.exe nicht durchgeführt.

Gruß
Olaf

Ja der MBR sieht auch ok aus, die Prüfsumme die der Bootkit Remover ausspurckt kommt mit bekannt vor. Lass uns aber sichergehen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

hier das Ergebnis von MBR-Check: