PC ist langsam Botvirus?
 

Hallo ihr Forenuser

ich habe 2 Problem mit meinem Computer 1. er ist seit längeren langsam geworden, ich vermiute, dass ein Botvirus in mein Sytem ist
2. habe ich ein Problem mit meinen Browser. Mein Browser öffnet sich mal selbstständig ohne das ich irgendwas mache.
Ganz extrem ist es wenn ich goolgen will. Wenn ich einen Link öffnen Will dann öffnet sich immer eine Seite mit einem Bösartigen Code
Hier der Code der erscheint
hxxp://64.111.212.229/click.php?c=eNot1MeOg0gQBuAHQppOhO7DHMBxsMGYwQZ8WZF6TM4YLB5-vdJeSiqV9Ev_ob5sFaECV4mi1XwbL2OrvkxnB1f4BZH0_8QQQYSxBEURErw-Xt_fK2NYVjgnciAmGCmEJgyJkSxhSBRRpOgfxJVYTMKYBzRIFMQpZ1KIMOOM4hCLcCXyitbEbMwbG39xVl-BPlL9d9KuKa7SrL7riv5oFltFvVc7N1-wH6rh5xeRc_jovWd3lJNcTqpGGfIoAwfeyBHoPBSGioiRLCihMDCmXC8TiwW2oFHsADDvl0E4lfdcYeP-mWD3RVsr1of0NLaXuY0LMJxs7OiSoe6991WxnsF2PBjC8Xgn_bX1SNK4Qd5txFiZdO4cYd965ayVpAqc8VzP4d2tY5-z3VQ9g-fTcnZSqtvPjjviLS_jm58WyN1vdlr54zko8Hrsu1YsHHoQ9J96OKwD2422ziU7napWaEe4AdNPpjJRA-h0im4CsOr-AjrjuhMMUTJLQc4G_5dfrswaf6oWLKhy3YNSpeRWi0BQT4kGZPF3wm38N94FefKL1i8S83V7xerVzrqniLbvc5Fe7GL_16D6Lu3PL9gpHZVCqPLXoHnQiDwWHfNbQbQQJprvS_lAXdMPh24u3vCsRM tw9ItSufzS0mfbDOm6za3XcbI256B6wL9XDN7I2wxv-vbm3bLbGiCqL9TMLFLKuri_uskoizeKmocXbjRl0Aov1LwLMd18Xqbc7BVgkWh3vt9sFWpn2fgBZOGM6BfK_DhBZOw7x7oOL9-fRV7mR_-kLmdyGey2ydNaBSKM2iOYkSm0h_K26d8GGw6MC_PTEnCRAGGgFfDCcKBk6-3Bw9EOlrrMqXQ8_sUt91QHeELIFLaXadb2I4ieyQbX4TYoBvd940JegWM6jYJdFxYMMhFaVrGZxrvxw36gNi2M5Jwaw657zIN04UKrZZrYGfw-cmQj5U4ilkxokGNS-Dj68dO-2Y4NcBvQzw3HvqlUHUz-3rDf3_UpC_t6YLw5gVwF-4t-8KaCbfliHhOaSVNfZGUX27Pr-PIyjYoQmvt9SsqWK2oIMoksFd95fy1qAJG5o1mZx8jYNVGmCMl7zJanFpLOIc_8xBbrmT3tzcY6pddH1BH9pnEaqIwaqbNp7bft2vfl4HivYPMnP3iZVox6S3nNZTBvKmY1RNjiBqTp6-MG-cKQfiHy9TFlhSuVvpDy9fnXz_7xZl3x6rtzfy6j0cdsOP9nDcIy_rjzuX7UWB8Y1YEr5f6vlIUYfn8iJJQQGvJASRiUcMQkEUuJhKVPLCV0pTgJYpFSijFWOBVhSFgUiBEMMf_QpfwLGlKaGQ

ich hoffe ihr könnt mir helfen wenn ich nen Logfile brauche muss ich noch machen, falls ihr den benötigt

vielen dank im voraus:daumenhoc

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

OTL. TXT.

OTL logfile created on: 25.12.2010 18:54:09 - Run 1
OTL by OldTimer - Version 3.2.18.0 Folder = D:\Eigene Daten\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 69,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 83,95 Gb Free Space | 85,97% Space Free | Partition Type: NTFS
Drive D: | 274,95 Gb Total Space | 102,20 Gb Free Space | 37,17% Space Free | Partition Type: NTFS

Computer Name: HEIM | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - D:\Eigene Daten\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Programme\phonostar-Player\phonostarTimer.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
PRC - C:\Programme\EXPERTool\TBPANEL.exe (Gainward Co.)
PRC - C:\WINDOWS\system32\FsUsbExService.Exe (Teruten)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - D:\Eigene Daten\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)

hier der extra Logfile

was soll ich mit ner unvollständigen otl.txt anfangen?

ich habe die beiden Textfelder kopiert

was fehlt denn noch ??

OTL Logfile:
--- --- ---

bitte deinstaliere mal spybot, es stört die reinigung, starte dann neu.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\.DEFAULT..\Run: [jleEjKNDDi.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe (MOSE software)
O4 - HKU\.DEFAULT..\Run: [Ozumu] C:\WINDOWS\krdpli.DLL (trbarry@trbarry.com)
O4 - HKU\S-1-5-18..\Run: [jleEjKNDDi.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe (MOSE software)
O4 - HKU\S-1-5-18..\Run: [Ozumu] C:\WINDOWS\krdpli.DLL (trbarry@trbarry.com)
[2010.12.21 16:04:19 | 000,377,344 | ---- | C] (Optimization Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HNh5WggND.exe
[2010.12.21 16:04:18 | 000,458,752 | ---- | C] (MediaPlayer software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ctnKGbMoGI.dll
[2010.12.21 16:04:17 | 000,533,504 | ---- | C] (MOSE software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe
[2010.12.21 16:04:16 | 000,086,016 | ---- | C] (trbarry@trbarry.com) -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\1453859.exe
[2010.11.28 11:39:36 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.12.23 09:10:31 | 000,000,216 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dfrg
[2010.12.23 09:10:31 | 000,000,160 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dfrgr
[2010.12.21 16:12:39 | 000,000,818 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Disk Repair.lnk
[2010.12.21 16:12:38 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HNh5WggND
[2010.12.21 16:04:19 | 000,377,344 | ---- | M] (Optimization Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HNh5WggND.exe
[2010.12.21 16:04:18 | 000,458,752 | ---- | M] (MediaPlayer software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ctnKGbMoGI.dll
[2010.12.21 16:04:16 | 000,533,504 | ---- | M] (MOSE software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe
[2010.12.21 16:04:15 | 000,573,440 | ---- | M] () -- C:\WINDOWS\System32\update.exe
[2010.12.12 19:10:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Afuwu
[2010.12.05 15:22:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Qaku

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

All processes killed
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\jleEjKNDDi.exe deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Ozumu deleted successfully.
C:\WINDOWS\krdpli.dll moved successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\jleEjKNDDi.exe not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Ozumu not found.
File C:\WINDOWS\krdpli.DLL not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HNh5WggND.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ctnKGbMoGI.dll moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe not found.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\1453859.exe moved successfully.
Folder move failed. C:\Dokumente und Einstellungen\All Users\Dokumente\Server scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dfrg moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dfrgr moved successfully.
C:\Dokumente und Einstellungen\Administrator\Desktop\Disk Repair.lnk moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HNh5WggND moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HNh5WggND.exe not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ctnKGbMoGI.dll not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jleEjKNDDi.exe not found.
C:\WINDOWS\system32\update.exe moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Afuwu folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Qaku folder moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 5027 bytes

User: All Users

User: Default User

User: LocalService
->Flash cache emptied: 596 bytes

User: NetworkService
->Flash cache emptied: 21771 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 30383 bytes
->Temporary Internet Files folder emptied: 6318415 bytes
->FireFox cache emptied: 95709176 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 129641 bytes
->Temporary Internet Files folder emptied: 632651 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 60122117 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1206248 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 704 bytes
RecycleBin emptied: 514120320 bytes

Total Files Cleaned = 647,00 mb


OTL by OldTimer - Version 3.2.18.0 log created on 12262010_161813

Files\Folders moved on Reboot...
Folder move failed. C:\Dokumente und Einstellungen\All Users\Dokumente\Server scheduled to be moved on reboot.

Registry entries deleted on Reboot...

habe jetzt das Movedfiles Archiv in das Uploadchannel hogeladen und jetzt???

machst du onlinebanking /einkäufe oder sonst was wichtiges mit dem pc?

nein mache ich nicht nur E-mail mehr nicht

ok.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ja und was soll ich da jetzt genau machen nur durchlesen ??

wie soll ich das dowloaden???

ne, natürlich auc das programm ausführen...

ich habe die datei gesrtet und es will eine Wiederherstellungskonsole haben

soll ich das über das Programm dowloaden oder über die internet seite die du mir gegeben hast?

mache den Scan morgen muss jetzt erstmal los

und noch ne frage kann man da irgendwas falsch machen ??

oder kaputt

na über das programm.
steht doch in der anleitung, dass der download manuell nur nötig ist, falls es über das programm nicht klappt.

hey hab das Programm durchlaufen lassen

und das Programm hat auch alles so gemacht, wie es in der Anleitung steht, nur der letzten Schritt mit einem Logfile erstellen hat er nicht ausgeführt

Guten Tag markusg

vielen dank mein System scheint wieder Clean zu sein

ich habe grad festgestellt das ich 6 svchost Prozesse laufen hatte jetzt sind es nur noch 5

und kannst du mir sagen was da jetzt los war mit meinem PC????

wären net

und nochmal:dankeschoen:

du hattest ein fake antiviren programm drauf.
zu combofix, nutze mal die windows suche und suche
combofix.txt
und deren inhalt posten.
bzw sag mir was beim letzten schritt schief gegangen ist, also was hat der pc gemacht?

er hat den Scan fertig gemacht

danach kam ein blauer bildschirm und er hat das System gereiningt

danach ist er neu Hochgefahren und nichts war da kein logfile oder so :confused:

dieses Fake Antivierenprogramm hat dann Viren eingeschleust oder wie ???

dann versuchs mal im abgesicherten modus, sollte mit betätigen von f8 zu erreichen sein, nimm aber nicht den abgesicherten modus mit netzwerk.

und was soll das bringen ??

weiteren einblick.
nur weil ein system läuft heißt es nicht das es sauber is.

nd was soll ich dann im abgesicherten modus machen ???

na combofix ausführen.

Windows hat grad ne meldung Abgegeben nach dem Start

Die Meldung war Das System Wird nach einem Schwerwiegenden Fehler wieder ausgeführt.

werde jetzt das ganze noch mal im abgesicherten modus machen mit Combofix

nach dem du im abgesicherten modus warst?

Hier der Logfile

ComboFix 10-12-25.03 - Administrator 27.12.2010 16:34:54.2.2 - x86 MINIMAL
ausgeführt von:: D:\Eigene Daten\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ibvuix\ciad.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat\gyvo.exe
C:\extensions.exe
C:\extensions.exe\config.bin
C:\jdsfjsdijf.exe
C:\jdsfjsdijf.exe\config.bin
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wpcap.dll

-- Vorheriger Suchlauf --

Infizierte Kopie von C:\WINDOWS\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von C:\WINDOWS\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

C:\WINDOWS\explorer.exe . . . ist infiziert!!

--------

C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

C:\WINDOWS\explorer.exe . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2010-11-27 bis 2010-12-27 ))))))))))))))))))))))))))))))
.

2010-12-20 20:31:12 . 2010-12-20 20:31:12 -------- d-----w- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-12-20 16:57:26 . 2010-12-20 17:00:56 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrueCrypt
2010-12-20 16:56:59 . 2010-12-20 16:56:59 231248 ----a-w- C:\WINDOWS\system32\drivers\truecrypt.sys
2010-12-20 16:56:54 . 2010-12-20 16:56:59 -------- d-----w- C:\Programme\TrueCrypt
2010-12-19 19:42:00 . 2010-12-19 19:43:51 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2010-12-19 19:36:57 . 2010-12-19 19:41:50 -------- d-----w- C:\Programme\VLC
2010-12-17 17:42:36 . 2010-12-17 17:42:36 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoft
2010-12-17 17:42:20 . 2010-12-17 17:45:00 -------- d-----w- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2010-12-17 17:42:20 . 2010-12-17 17:42:20 -------- d-----w- C:\Programme\DVDVideoSoft
2010-12-17 17:37:38 . 2006-06-29 12:07:36 14048 ------w- C:\WINDOWS\system32\spmsg2.dll
2010-12-17 17:37:02 . 2010-12-17 17:37:05 -------- d-----w- C:\WINDOWS\system32\de-DE
2010-12-17 17:31:32 . 2010-12-17 17:37:01 -------- d-----w- C:\WINDOWS\system32\XPSViewer
2010-12-17 17:31:27 . 2010-12-17 17:31:28 -------- d-----w- C:\Programme\MSBuild
2010-12-17 17:31:19 . 2010-12-17 17:31:19 -------- d-----w- C:\Programme\Reference Assemblies
2010-12-17 17:30:34 . 2008-07-06 12:06:10 89088 ----a-w- C:\WINDOWS\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-12-17 17:28:39 . 2008-07-06 12:06:10 89088 -c----w- C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2010-12-17 17:28:39 . 2008-07-06 12:06:10 117760 ------w- C:\WINDOWS\system32\prntvpt.dll
2010-12-17 17:28:38 . 2008-07-06 10:50:04 597504 -c----w- C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2010-12-17 17:28:38 . 2008-07-06 10:50:04 597504 ------w- C:\WINDOWS\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-12-17 17:28:37 . 2008-07-06 12:06:10 575488 -c----w- C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 575488 ------w- C:\WINDOWS\system32\xpsshhdr.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 1676288 -c----w- C:\WINDOWS\system32\dllcache\xpssvcs.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 1676288 ------w- C:\WINDOWS\system32\xpssvcs.dll
2010-12-17 17:25:42 . 2010-12-17 17:25:42 -------- d-----w- C:\Programme\MSXML 6.0
2010-12-12 13:07:15 . 2010-12-12 13:07:16 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Steinberg
2010-12-12 13:06:52 . 2010-12-12 13:06:52 -------- d-----w- C:\Programme\Windows Media Components
2010-12-12 12:57:44 . 2000-09-07 14:06:20 1441792 ----a-w- C:\WINDOWS\system32\nspw7.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:06 1429504 ----a-w- C:\WINDOWS\system32\nspa6.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:02 1335296 ----a-w- C:\WINDOWS\system32\nspm5.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:02 1318912 ----a-w- C:\WINDOWS\system32\nspp6.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:00 1404928 ----a-w- C:\WINDOWS\system32\nspm6.dll
2010-12-12 12:57:44 . 2000-09-07 14:05:58 1306624 ----a-w- C:\WINDOWS\system32\nsppx.dll
2010-12-12 12:57:44 . 2000-09-07 14:04:12 114688 ----a-w- C:\WINDOWS\system32\nsp.dll
2010-12-12 12:57:31 . 2010-12-12 13:06:14 -------- d-----w- C:\Programme\Steinberg
2010-12-05 13:55:35 . 2010-12-05 13:55:35 82 ----a-w- C:\cc_20101205_145526.reg
2010-11-28 14:14:52 . 2010-11-29 15:16:19 -------- d-----w- C:\Programme\Electronics Workbench 5.0
2010-11-28 10:39:32 . 2010-11-28 10:39:32 -------- d-----w- C:\Dokumente und Einstellungen\NetworkService\Startmenü
2010-11-28 09:49:00 . 2010-12-02 18:25:00 -------- d-----w- C:\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-22 16:21:17 . 2009-12-30 17:41:06 135096 ----a-w- C:\WINDOWS\system32\drivers\avipbb.sys
2010-11-28 09:50:58 . 2009-12-30 17:41:06 61960 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
.

------- Sigcheck -------

[-] 2004-11-11 12:00:00 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505 (xpsp.040806-1825)] . . C:\WINDOWS\system32\drivers\tcpip.sys

[-] 2004-11-11 12:00:00 . C194FC6A29F7BB1C3DDFACAFF1FBB2B1 . 507392 . . [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\system32\winlogon.exe

[-] 2004-11-11 12:00:00 . B63F325AD4D7DC317B8EE5933A189762 . 1035264 . . [6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="C:\Programme\EXPERTool\TBPanel.exe" [2009-05-12 14:43:36 2181672]
"AutoStartNPSAgent"="C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-01-14 15:38:04 102400]
"phonostarTimer"="C:\Programme\phonostar-Player\phonostarTimer.exe" [2010-01-18 12:31:52 37888]
"ICQ"="C:\Programme\ICQ7.2\ICQ.exe" [2010-10-27 12:20:45 133432]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 13:31:16 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 01:47:04 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 01:47:04 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 01:46:36 135168]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 08:51:26 16804864]
"nwiz"="nwiz.exe" [2009-06-10 07:29:34 1657376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2009-06-10 07:28:50 86016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-06-10 07:28:50 13758464]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-12 17:39:29 281768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 16:10:28 35696]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40:44 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24:46 32768]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 01:20:00 398944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 12:00:00 15360]

C:\Dokumente und Einstellungen\Default User\Startmen�\Programme\Autostart\
ficyo.exe [2010-12-26 142336]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6.5\\ICQ.exe"=
"D:\\Programme\\Spiele\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"C:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=
"C:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"D:\\Programme\\Spiele\\ComputerBild\\RiseofNation\\rise.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Programme\\ICQ7.2\\ICQ.exe"=
"C:\\Programme\\ICQ7.2\\aolload.exe"=
"D:\\Programme\\Spiele\\Titan Quest Immortal Throne\\Tqit.exe"=
"D:\\Programme\\Spiele\\Heroes of Might and Magic V - Tribes of the East\\Heroes of Might and Magic V - Tribes of the East\\bin\\H5_Game.exe"=
"D:\\Programme\\Spiele\\Heroes of Might and Magic V\\bin\\H5_Game.exe"=
"D:\\Programme\\Spiele\\ComputerBild\\RiseofNation\\nations.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [30.12.2009 18:41:05 135336]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [08.01.2010 18:58:39 233472]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [30.12.2009 20:59:16 246520]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [08.01.2010 18:58:39 36608]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [08.01.2010 18:58:47 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [08.01.2010 18:58:47 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [08.01.2010 18:58:47 121856]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK
.
Inhalt des "geplante Tasks" Ordners

2010-12-03 C:\WINDOWS\Tasks\AntiVir starten.job
- C:\PROGRA~1\Avira\ANTIVI~1\avcenter.exe [2009-12-30 17:41:05 . 2010-11-12 17:39:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Free YouTube Download - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktnjlvm7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{FCF5310F-450B-7EFA-8D4B-207F7169FBB5} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ibvuix\ciad.exe
HKCU-Run-{62835420-4BDA-49E1-C828-2A17B4854012} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat\gyvo.exe
HKLM-Run-NPSStartup - (no file)
HKU-Default-RunOnce-20693579 - C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\20693579.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-27 16:48:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\winlogon.exe
die beiden in unserem upload channel hocladen:
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
dann poste das vollständige combofix log, da fehlt was.

mbr

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD4000AAJB-00YRA0 rev.12.01C02 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-10

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

und
pend

.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)

das ist aber nicht der komplette untere teil.
es wird warscheinlich sowieso das beste sein den pc platt zu machen, zu viele verschiedene trojaner, den bekommen wir nicht sauber, jeden fall nicht so, dass du dort wieder beruhigt passwörter eingeben kannst.

ok dann werd ich das mal in angriff nehmen

bitte sichere daten, dann melde dich noch mal, ich gebe dir dann weitere anweisungen zum neu aufsetzen und absichern.

werd ich machen aber das kann noch dauern so nach dem Ferien vllt