Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nach AntiVir-Warnmeldung und Abblockung von TR/Rootkit.Gen hängt PC sich ständig auf (https://www.trojaner-board.de/80966-antivir-warnmeldung-abblockung-tr-rootkit-gen-haengt-pc-staendig.html)

Gali 29.12.2009 14:30
Nach AntiVir-Warnmeldung und Abblockung von TR/Rootkit.Gen hängt PC sich ständig auf
 
Hallo zusammen!

Ich beschreibe mein Problem in diesem Thread, da alles mit einer Trojaner-Warnmeldung begonnen hat. Sollte ich hier falsch sein, lasst es mich bitte wissen.:)

Vor einigen Tagen bekam ich von AntiVir (Premium) zwei Warnmeldungen über den Trojaner TR/Rootkit.Gen. Wie von AntiVir empfohlen, hab ich auf „Zugriff verweigern“ geklickt.
Seitdem ist mein PC sehr langsam und hängt sich ständig auf. Also habe ich einen Viren-Scan mit AntiVir gemacht, der allerdings nur im abgesicherten Modus lief, da sich der PC sonst dauernd aufgehängt hat. Es wurden keine Viren o.ä. gefunden.
Dann habe ich einen Scan mit MalwareBytes gemacht und es wurden folgende Dateien als schädlich bewertet:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/SecurityCenter/AntiVirusDisableNotify
HKEY_CURRENT_USER/SOFTWARE/Microsoft/SecurityCenter/FirewallDisableNotify
HKEY_CURRENT_USER/SOFTWARE/Microsoft/SecurityCenter/UpdatesDisableNotify
Könnt Ihr mir sagen, was für Dateien das sind? Sie sind nun in Quarantäne...

Da der PC sich danach immer noch dauernd „aufgehängt“ hat, habe ich es mit Systemwiederherstellung versucht. Leider hat das auch nicht geholfen.

Was kann ich noch machen? Kenne mich auch nicht so gut aus. Wäre sehr dankbar für Eure Hilfe!

Hier die Log von Hijack



Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:56:51, on 29.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Napster\napster.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ServoApp.exe
C:\Programme\MFP Server\App\Common\MFPAgent.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Server Application] C:\WINDOWS\system32\ServoApp.exe
O4 - HKLM\..\Run: [GDI Manager] "C:\Programme\MFP Server\App\Common\MFPAgent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_SA4.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S3D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series (Kopie 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S21.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c957c27d707044) (gupdate1c957c27d707044) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 10890 bytes

cosinus 29.12.2009 20:36
Hallo,

Du solltest wissen, dass man bei Virenmeldungen die Namen und die kompletten Pfadangaben postet!Bitte reich das Logfile von AntiVir nach.

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Gali 30.12.2009 02:45
Hallo,

vielen Dank schonmal für Deine Antwort. Habe die Liste wie beschrieben abgearbeitet. Leider hat sich dabei der PC mehrfach "aufgehängt", so dass ich Dir die Logfiles vorsichtshalber wie oben poste, damit ich wenigstens jetzt den Eintrag hier ohne Störungen hinbekomme. Tut mir wirklich leid, aber es geht wirklich nichts ohne ewiges neues Hochfahren etc. Ich hoffe, das ist ok?

Die Meldungen von AntiVir vor ein paar Tagen lauteten:
In der Datei 'C:\WINDOWS\temp\27.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

und

In der Datei 'C:\WINDOWS\temp\29.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Beim heutigen Suchlauf mit Antivir wurde ein Trojaner gefunden, der aber eigentlich bei Malwarebytes schon in Quarantäne ist. Hier die letzte Log:
Code:
Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Dienstag, 29. Dezember 2009  12:19

Es wird nach 1481788 Virenstämmen gesucht.

Lizenznehmer:    xxx
Seriennummer:    xxx
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    LAPTOP

Versionsinformationen:
BUILD.DAT    : 8.2.0.385      21404 Bytes  23.10.2009 13:36:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  17.11.2008 17:15:13
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:01:41
ANTIVIR1.VDF  : 7.10.1.11    1395568 Bytes  19.11.2009 18:01:48
ANTIVIR2.VDF  : 7.10.2.74    1377184 Bytes  24.12.2009 13:56:14
ANTIVIR3.VDF  : 7.10.2.84    121344 Bytes  29.12.2009 10:55:26
Engineversion : 8.2.1.122
AEVDF.DLL    : 8.1.1.2      106867 Bytes  19.09.2009 07:46:22
AESCRIPT.DLL  : 8.1.3.4      586105 Bytes  27.12.2009 09:46:19
AESCN.DLL    : 8.1.3.0      127348 Bytes  27.12.2009 09:46:18
AESBX.DLL    : 8.1.1.1      246132 Bytes  27.11.2009 18:01:53
AERDL.DLL    : 8.1.3.4      479605 Bytes  27.12.2009 09:46:18
AEPACK.DLL    : 8.2.0.3      422261 Bytes  09.11.2009 14:14:01
AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  17.06.2009 12:38:34
AEHEUR.DLL    : 8.1.0.189    2195833 Bytes  27.12.2009 09:46:16
AEHELP.DLL    : 8.1.9.0      237943 Bytes  27.12.2009 09:46:14
AEGEN.DLL    : 8.1.1.82      369014 Bytes  27.12.2009 09:46:13
AEEMU.DLL    : 8.1.1.0      393587 Bytes  10.10.2009 08:39:44
AECORE.DLL    : 8.1.9.1      180598 Bytes  27.12.2009 09:46:12
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.3      155688 Bytes  22.04.2009 12:41:39
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2564353 Bytes  12.06.2008 13:26:26
RCTEXT.DLL    : 8.0.51.0      90369 Bytes  27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 29. Dezember 2009  12:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEGE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEGE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEGE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MFPAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServoApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'napster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePower_DMC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EOUWiz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Programme\Malwarebytes' Anti-Malware\is-030AP.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b66e8bb.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 29. Dezember 2009  12:50
Benötigte Zeit: 31:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  8397 Verzeichnisse wurden überprüft
 193359 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 193356 Dateien ohne Befall
  1209 Archive wurden durchsucht
      2 Warnungen
      1 Hinweise
Ergebnisse von Malwarebytes (Check konnte ich nur im abgesicherten Modus machen)
Code:
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3449
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.11

29.12.2009 12:54:47
mbam-log-2009-12-29 (12-54-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 255067
Laufzeit: 1 hour(s), 56 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
und hier noch Rsit:
Code:
Logfile of random's system information tool 1.04 (written by random/random)
Run by Standard at 2009-12-29 11:57:10
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 48 GB (63%) free of 76 GB
Total RAM: 1022 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:14, on 29.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Napster\napster.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ServoApp.exe
C:\Programme\MFP Server\App\Common\MFPAgent.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Standard\Desktop\RSIT.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\Trend Micro\HijackThis\Standard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Server Application] C:\WINDOWS\system32\ServoApp.exe
O4 - HKLM\..\Run: [GDI Manager] "C:\Programme\MFP Server\App\Common\MFPAgent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_SA4.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S3D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series (Kopie 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S21.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c957c27d707044) (gupdate1c957c27d707044) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 10912 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
Freecorder Toolbar - C:\Programme\Freecorder\tbFre1.dll [2009-09-22 2215960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-12-06 308856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-22 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-27 764912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-09-22 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{1392b8d2-5c05-419f-a8f6-b9f15a596612} - Freecorder Toolbar - C:\Programme\Freecorder\tbFre1.dll [2009-09-22 2215960]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-22 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-06-12 7577600]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-06-12 86016]
"IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-04-14 667718]
"IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-04-14 602182]
"EOUApp"=C:\Programme\Intel\Wireless\Bin\EOUWiz.exe [2006-04-14 569413]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"AzMixerSel"=C:\Programme\Realtek\InstallShield\AzMixerSel.exe [2005-12-21 53248]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-03 761946]
"LManager"=C:\PROGRA~1\LAUNCH~1\LManager.exe [2006-07-20 593920]
"ePower_DMC"=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe [2006-04-14 344064]
"Acer ePower Management"=C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe [2006-01-20 3080192]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-11-17 29744]
"NapsterShell"=C:\Programme\Napster\napster.exe [2008-12-18 323216]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2008-01-15 37376]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-01-10 385024]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe [2008-06-12 266497]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-12-06 185896]
"Server Application"=C:\WINDOWS\system32\ServoApp.exe [2007-05-20 417792]
"GDI Manager"=C:\Programme\MFP Server\App\Common\MFPAgent.exe [2008-05-06 741376]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-06-12 68856]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"EPSON Stylus SX400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE [2007-12-17 188928]
"EPSON Stylus SX400 Series (Kopie 1)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE [2007-12-17 188928]
"EPSON Stylus SX400 Series (Kopie 2)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE [2007-12-17 188928]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WIFD1F~1\MpShHook.dll [2006-11-03 83224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\MAGIX\MP3_Maker_Centurion\MP3Maker.exe"="C:\MAGIX\MP3_Maker_Centurion\MP3Maker.exe:*:Disabled:MAGIX Mp3 Maker centurion"
"C:\Programme\Real\RealPlayer\realplay.exe"="C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"E:\DEUTSCH\EdiMax\Installer\FirstTimeInstaller.exe"="E:\DEUTSCH\EdiMax\Installer\FirstTimeInstaller.exe:*:Enabled:FirstTimeInstaller"
"C:\Programme\MFP Server\App\Common\MFPAgent.exe"="C:\Programme\MFP Server\App\Common\MFPAgent.exe:*:Enabled:MFP Agent"
"C:\Programme\MFP Server\App\Common\MFPAdmin.exe"="C:\Programme\MFP Server\App\Common\MFPAdmin.exe:*:Enabled:Server Manager"
"C:\Programme\MFP Server\Driver\MFP Driver\2KXP\MFPSetup.exe"="C:\Programme\MFP Server\Driver\MFP Driver\2KXP\MFPSetup.exe:*:Enabled:MFPSetup"
"C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe:*:Enabled:Acer ePower Management"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Dokumente und Einstellungen\Standard\Eigene Dateien\Skype.exe"="C:\Dokumente und Einstellungen\Standard\Eigene Dateien\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-12-29 12:04:12 ----D---- C:\Programme\CCleaner
2009-12-29 11:55:59 ----A---- C:\WINDOWS\ntbtlog.txt
2009-12-10 16:22:06 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2009-12-10 16:22:00 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2009-12-10 16:21:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-10 16:21:20 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2009-12-10 16:21:11 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$

======List of files/folders modified in the last 1 months======

2009-12-29 12:30:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-12-29 12:17:07 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-12-29 12:12:15 ----D---- C:\Programme\Mozilla Firefox
2009-12-29 12:08:40 ----D---- C:\WINDOWS\Minidump
2009-12-29 12:08:40 ----D---- C:\WINDOWS\Debug
2009-12-29 12:04:12 ----RD---- C:\Programme
2009-12-29 12:00:49 ----D---- C:\WINDOWS\system32
2009-12-29 12:00:46 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-12-29 11:58:43 ----HD---- C:\WINDOWS\inf
2009-12-29 11:57:41 ----A---- C:\WINDOWS\NeroDigital.ini
2009-12-29 11:57:07 ----D---- C:\WINDOWS\Prefetch
2009-12-29 11:57:00 ----D---- C:\WINDOWS\temp
2009-12-29 11:56:56 ----D---- C:\Dokumente und Einstellungen
2009-12-29 11:56:20 ----D---- C:\WINDOWS\system32\CatRoot2
2009-12-29 11:56:09 ----D---- C:\WINDOWS
2009-12-29 11:55:53 ----SD---- C:\WINDOWS\Tasks
2009-12-29 11:55:23 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2_0$
2009-12-29 11:55:23 ----D---- C:\WINDOWS\system32\drivers
2009-12-27 22:29:05 ----SHD---- C:\WINDOWS\Installer
2009-12-27 21:23:34 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-12-27 21:23:07 ----D---- C:\WINDOWS\system32\de-de
2009-12-27 21:23:07 ----D---- C:\Programme\Internet Explorer
2009-12-27 21:18:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-12-26 15:02:54 ----D---- C:\WINDOWS\system32\config
2009-12-26 15:02:30 ----D---- C:\WINDOWS\system32\wbem
2009-12-26 15:02:30 ----D---- C:\WINDOWS\Registration
2009-12-26 15:01:57 ----D---- C:\Programme\Freecorder
2009-12-26 15:01:19 ----D---- C:\WINDOWS\system32\CatRoot
2009-12-25 14:53:30 ----D---- C:\WINDOWS\system32\Restore
2009-12-10 16:31:12 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Skype
2009-12-10 16:21:51 ----HD---- C:\WINDOWS\$hf_mig$
2009-12-01 21:06:19 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Premium\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-29 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2006-07-24 5632]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2006-02-28 12032]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2007-01-13 21275]
R2 ALIWEHCD;MFP Server Enhanced Controller; C:\WINDOWS\System32\Drivers\mfpec.sys [2007-05-06 34944]
R2 BTSERIAL;Bluetooth Serial Driver; \??\C:\WINDOWS\system32\drivers\btserial.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-14 88192]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2005-10-05 12544]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-04-14 13568]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Premium\avgntflt.sys []
R3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2005-10-26 142720]
R3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2006-01-17 328061]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2006-01-17 850474]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 DKbFltr;Dritek Keyboard Filter Driver; C:\WINDOWS\system32\DRIVERS\DKbFltr.sys [2004-12-08 16896]
R3 EMSCR;EMSCR; C:\WINDOWS\system32\DRIVERS\EMS7SK.sys [2006-06-16 61056]
R3 ESDCR;ESDCR; C:\WINDOWS\system32\DRIVERS\ESD7SK.sys [2006-06-16 40064]
R3 ESMCR;ESMCR; C:\WINDOWS\system32\DRIVERS\ESM7SK.sys [2006-06-16 74752]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-10-18 998656]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-10-24 218496]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
R3 lv321av;Logitech USB PC Camera (VC0321); C:\WINDOWS\system32\DRIVERS\lv321av.sys [2007-01-15 1097728]
R3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\DRIVERS\LVUSBSta.sys [2007-01-15 39424]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-06-12 3675776]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-14 79232]
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-03 192672]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-04 1429632]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-10-18 721280]
R3 WUSBVBus;MFP Server Detector; C:\WINDOWS\system32\DRIVERS\mfpvbus.sys [2006-10-20 10240]
S3 AliWGP;Composite Device; C:\WINDOWS\system32\DRIVERS\mfpcomp.sys [2007-01-09 10880]
S3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\system32\DRIVERS\btport.sys [2006-01-17 30459]
S3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2006-01-17 148900]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2006-01-17 65688]
S3 catchme;catchme; \??\C:\DOKUME~1\Standard\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-10-30 85969]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mbr;mbr; \??\C:\DOKUME~1\Standard\LOKALE~1\Temp\mbr.sys []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\system32\DRIVERS\sscdbus.sys [2007-07-03 80552]
S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys [2007-07-03 11944]
S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\WINDOWS\system32\DRIVERS\sscdmdm.sys [2007-07-03 106792]
S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM); C:\WINDOWS\system32\DRIVERS\ssm_bus.sys [2007-05-02 83592]
S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter; C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys [2007-05-02 15112]
S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers; C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys [2007-05-02 109704]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirMailService;Avira AntiVir Premium MailGuard; C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-11-17 164097]
R2 AntiVirScheduler;Avira AntiVir Premium Planer; C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Premium Guard; C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe [2008-10-15 151297]
R2 antivirwebservice;Avira AntiVir Premium WebGuard; C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-06-12 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst; C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-05-09 41217]
R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2006-01-17 266295]
R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-04-14 114753]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-06-12 143426]
R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-04-14 217164]
R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-04-14 540745]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 gupdate1c957c27d707044;Google Update Service (gupdate1c957c27d707044); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-18 133104]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-26 183280]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 1527900]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245; C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-11-17 29744]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
Danke Dir schonmal im Voraus für Deine weitere Hilfe.

cosinus 30.12.2009 09:40
Die Logs sehen unauffällig aus, aber wegen einer Rootkitwarnung sollte man tiefer analylieren. Bitte einen Durchlauf mit GMER machen und Log posten.

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Gali 30.12.2009 13:08
Hallo Cosinus,

habe GMER durchgeführt und nach dem Scan auf Copy geklickt. Dann hat sich der PC leider wieder aufgehängt. Wie finde ich nun die Logfile?

Gruß und Danke!

cosinus 30.12.2009 13:17
Dann lass GMER erstmal weg und mach nur LopS&D

Gali 30.12.2009 13:25
Hier schonmal die Log:
Code:
  --------------------\\  Lop S&D 4.2.5-0  XP/Vista

  Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
  X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU        T5500  @ 1.66GHz )
  BIOS : Ver 1.00PARTTBL
  USER : Standard ( Administrator )
  BOOT : Normal boot
  Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
  C:\ (Local Disk) - NTFS - Total:74 Go (Free:46 Go)
  D:\ (Local Disk) - NTFS - Total:74 Go (Free:74 Go)
  E:\ (CD or DVD)

  "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
  Option : [1] ( 29.12.2009|12:11 )
 
  --------------------\\  Ordner Verzeichnis unter ANWEND~1

  [09.08.2008|16:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
  [30.10.2008|16:39] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

  [09.08.2008|16:32] C:\DOKUME~1\ADMINI~1.LAP\ANWEND~1\Macromedia
  [29.12.2009|11:58] C:\DOKUME~1\ADMINI~1.LAP\ANWEND~1\Malwarebytes
  [29.12.2009|11:57] C:\DOKUME~1\ADMINI~1.LAP\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ADMINI~1.LAP\ANWEND~1\Bytes
  [5|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.LAP\ANWEND~1\Bytes frei

  [27.11.2009|16:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
  [23.01.2008|14:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
  [13.09.2008|09:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
  [09.06.2009|16:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
  [11.05.2009|20:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\EPSON
  [11.05.2009|20:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
  [27.12.2009|21:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
  [07.08.2009|12:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
  [13.01.2007|11:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
  [01.11.2008|18:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
  [21.03.2007|19:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
  [30.10.2008|17:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
  [13.09.2008|09:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
  [26.12.2007|11:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Napster
  [26.12.2007|11:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
  [09.06.2009|17:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Temp
  [17.01.2007|17:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
  [11.05.2009|20:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\UDL
  [13.01.2007|12:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
  [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
  [21|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

  [09.08.2008|16:32] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia
  [13.01.2007|11:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

  [13.01.2007|11:13] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
  [17.11.2008|18:22] C:\DOKUME~1\LOCALS~1\ANWEND~1\Softland
  [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

  [13.09.2008|09:31] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
  [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

  [08.12.2008|11:14] C:\DOKUME~1\Standard\ANWEND~1\Adobe
  [23.01.2007|12:13] C:\DOKUME~1\Standard\ANWEND~1\AdobeUM
  [23.01.2008|13:21] C:\DOKUME~1\Standard\ANWEND~1\Apple Computer
  [01.11.2008|19:11] C:\DOKUME~1\Standard\ANWEND~1\Avira
  [09.06.2009|17:17] C:\DOKUME~1\Standard\ANWEND~1\CyberLink
  [09.06.2009|17:08] C:\DOKUME~1\Standard\ANWEND~1\dvdcss
  [21.01.2007|17:58] C:\DOKUME~1\Standard\ANWEND~1\Google
  [26.03.2009|14:12] C:\DOKUME~1\Standard\ANWEND~1\ICQ
  [13.01.2007|11:17] C:\DOKUME~1\Standard\ANWEND~1\Identities
  [27.01.2008|13:07] C:\DOKUME~1\Standard\ANWEND~1\InstallShield
  [13.01.2007|11:48] C:\DOKUME~1\Standard\ANWEND~1\Intel
  [12.06.2007|19:44] C:\DOKUME~1\Standard\ANWEND~1\Macromedia
  [03.04.2007|17:23] C:\DOKUME~1\Standard\ANWEND~1\MAGIX
  [30.10.2008|17:12] C:\DOKUME~1\Standard\ANWEND~1\Malwarebytes
  [17.03.2009|13:24] C:\DOKUME~1\Standard\ANWEND~1\Microsoft
  [23.01.2007|12:17] C:\DOKUME~1\Standard\ANWEND~1\Microsoft Web Folders
  [19.12.2008|21:40] C:\DOKUME~1\Standard\ANWEND~1\Mozilla
  [21.03.2007|19:20] C:\DOKUME~1\Standard\ANWEND~1\Real
  [14.01.2008|12:44] C:\DOKUME~1\Standard\ANWEND~1\Roxio
  [02.02.2008|16:46] C:\DOKUME~1\Standard\ANWEND~1\Samsung
  [10.12.2009|16:31] C:\DOKUME~1\Standard\ANWEND~1\Skype
  [15.11.2009|18:45] C:\DOKUME~1\Standard\ANWEND~1\Sun
  [19.12.2007|13:01] C:\DOKUME~1\Standard\ANWEND~1\Talkback
  [17.01.2007|18:00] C:\DOKUME~1\Standard\ANWEND~1\TuneUp Software
  [13.09.2008|09:39] C:\DOKUME~1\Standard\ANWEND~1\vlc
  [21.01.2008|13:22] C:\DOKUME~1\Standard\ANWEND~1\Winamp
  [0|Datei(en)] C:\DOKUME~1\Standard\ANWEND~1\Bytes
  [28|Verzeichnis(se),] C:\DOKUME~1\Standard\ANWEND~1\Bytes frei
 
  --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

  [29.12.2009 12:52][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
  [29.12.2009 11:55][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
  [29.12.2009 11:55][--a------] C:\WINDOWS\tasks\Google Software Updater.job
  [29.12.2009 11:58][--ah-----] C:\WINDOWS\tasks\MP Scheduled Scan.job
  [27.11.2009 17:27][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
  [29.12.2009 11:55][--ah-----] C:\WINDOWS\tasks\SA.DAT
  [28.02.2006 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

  --------------------\\  Ordner Verzeichnis unter C:\Programme

  [11.05.2009|20:37] C:\Programme\ABBYY FineReader 6.0 Sprint
  [27.11.2009|16:50] C:\Programme\Adobe
  [13.01.2007|14:08] C:\Programme\Ahead
  [13.09.2008|09:14] C:\Programme\Avira
  [29.12.2009|12:04] C:\Programme\CCleaner
  [13.01.2007|11:10] C:\Programme\ComPlus Applications
  [11.05.2009|20:58] C:\Programme\Conduit
  [13.01.2007|11:56] C:\Programme\CONEXANT
  [11.05.2009|20:37] C:\Programme\epson
  [26.12.2009|15:01] C:\Programme\Freecorder
  [11.05.2009|20:57] C:\Programme\Freecorder Toolbar
  [09.06.2009|17:16] C:\Programme\Gemeinsame Dateien
  [11.05.2009|20:27] C:\Programme\Google
  [07.08.2009|12:24] C:\Programme\ICQ6
  [07.08.2009|11:41] C:\Programme\ICQ6.5
  [07.08.2009|12:25] C:\Programme\ICQ6Toolbar
  [09.06.2009|17:16] C:\Programme\InstallShield Installation Information
  [13.01.2007|11:47] C:\Programme\Intel
  [27.12.2009|21:23] C:\Programme\Internet Explorer
  [13.01.2007|14:10] C:\Programme\Launch Manager
  [01.11.2008|18:55] C:\Programme\Lavasoft
  [21.03.2007|19:07] C:\Programme\MAGIX Online Druck Service
  [29.12.2009|12:30] C:\Programme\Malwarebytes' Anti-Malware
  [30.10.2008|22:50] C:\Programme\Messenger
  [11.05.2009|20:32] C:\Programme\MFP Server
  [23.01.2007|12:17] C:\Programme\microsoft frontpage
  [13.04.2008|14:46] C:\Programme\Microsoft Office
  [23.01.2007|12:20] C:\Programme\Microsoft Visual Studio
  [13.04.2008|14:45] C:\Programme\Microsoft.NET
  [30.10.2008|22:52] C:\Programme\Movie Maker
  [29.12.2009|11:57] C:\Programme\Mozilla Firefox
  [13.01.2007|13:21] C:\Programme\MSBuild
  [13.01.2007|11:08] C:\Programme\MSN
  [13.01.2007|11:09] C:\Programme\MSN Gaming Zone
  [13.01.2007|12:45] C:\Programme\MSXML 4.0
  [03.10.2007|21:08] C:\Programme\MSXML 6.0
  [11.05.2009|20:37] C:\Programme\Napster
  [30.10.2008|23:49] C:\Programme\NetMeeting
  [13.01.2007|11:09] C:\Programme\Online Services
  [13.01.2007|11:12] C:\Programme\Online-Dienste
  [15.08.2009|10:51] C:\Programme\Outlook Express
  [10.05.2008|16:49] C:\Programme\Picasa2
  [13.01.2007|16:28] C:\Programme\Prime95
  [23.01.2008|13:20] C:\Programme\QuickTime
  [21.01.2007|18:03] C:\Programme\Real
  [13.01.2007|11:49] C:\Programme\Realtek
  [13.01.2007|13:17] C:\Programme\Reference Assemblies
  [02.02.2008|16:23] C:\Programme\Samsung
  [17.11.2008|18:14] C:\Programme\Softland
  [13.01.2007|12:12] C:\Programme\Synaptics
  [30.10.2008|16:47] C:\Programme\Trend Micro
  [17.01.2007|18:01] C:\Programme\TuneUp Utilities 2007
  [13.01.2007|11:17] C:\Programme\Uninstall Information
  [13.09.2008|09:37] C:\Programme\VideoLAN
  [13.01.2007|12:03] C:\Programme\WIDCOMM
  [21.01.2008|13:21] C:\Programme\Winamp
  [13.09.2008|09:54] C:\Programme\Windows Defender
  [13.01.2007|12:47] C:\Programme\Windows Media Connect 2
  [30.10.2008|23:49] C:\Programme\Windows Media Player
  [30.10.2008|23:49] C:\Programme\Windows NT
  [13.01.2007|11:12] C:\Programme\WindowsUpdate
  [11.05.2009|20:45] C:\Programme\XAudioTools
  [13.01.2007|11:13] C:\Programme\xerox
  [0|Datei(en)] C:\Programme\Bytes
  [65|Verzeichnis(se),] C:\Programme\Bytes frei

  --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

  [27.11.2009|16:51] C:\Programme\Gemeinsame Dateien\Adobe
  [13.01.2007|14:08] C:\Programme\Gemeinsame Dateien\Ahead
  [09.06.2009|17:16] C:\Programme\Gemeinsame Dateien\CyberLink
  [23.01.2007|12:20] C:\Programme\Gemeinsame Dateien\Designer
  [13.01.2007|11:11] C:\Programme\Gemeinsame Dateien\Dienste
  [11.05.2009|20:40] C:\Programme\Gemeinsame Dateien\InstallShield
  [21.03.2007|19:07] C:\Programme\Gemeinsame Dateien\MAGIX Shared
  [09.06.2009|17:14] C:\Programme\Gemeinsame Dateien\Microsoft Shared
  [13.01.2007|11:11] C:\Programme\Gemeinsame Dateien\MSSoap
  [11.05.2009|20:36] C:\Programme\Gemeinsame Dateien\Napster Shared
  [13.01.2007|10:59] C:\Programme\Gemeinsame Dateien\ODBC
  [06.12.2008|17:58] C:\Programme\Gemeinsame Dateien\Real
  [11.05.2009|20:36] C:\Programme\Gemeinsame Dateien\Roxio Shared
  [13.01.2007|10:59] C:\Programme\Gemeinsame Dateien\SpeechEngines
  [30.10.2008|23:49] C:\Programme\Gemeinsame Dateien\System
  [06.12.2008|17:58] C:\Programme\Gemeinsame Dateien\xing shared
  [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
  [18|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

  --------------------\\  Process

  ( 62 Processes )

  ... OK !

  --------------------\\  Ueberpruefung mit S_Lop

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche nach Lop Dateien - Ordnern

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche innerhalb der Registry
 
  ..... OK !

  --------------------\\  Ueberpruefung der Hosts Datei

  Hosts Datei SAUBER


  --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
  catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-12-29 12:12:55
  Windows 5.1.2600 Service Pack 3 NTFS
  scanning hidden processes ...
  scanning hidden files ...
  scan completed successfully
  hidden processes: 0
  hidden files: 0
 
  --------------------\\  Suche nach anderen Infektionen

  --------------------\\  ROOTKIT !!

  Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]

  --------------------\\  Cracks & Keygens ..

  C:\DOKUME~1\Standard\Eigene Dateien\Eigene Musik\Eigene Musik\Kontor Sunset Chill\Mark Brown Feat. Sarah Cracknell - The Journey Continues [Acoustic Version].wma


  [F:274][D:16]-> C:\DOKUME~1\Standard\LOKALE~1\Temp
  [F:2][D:0]-> C:\DOKUME~1\Standard\Cookies
  [F:7][D:4]-> C:\DOKUME~1\Standard\LOKALE~1\TEMPOR~1\content.IE5

  1 - "C:\Lop SD\LopR_1.txt" - 29.12.2009|12:13 - Option : [1]

  --------------------\\  Scan beendet um 12:13:54

cosinus 30.12.2009 13:26
Zitat:
--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
Du hast ein Rootkit drin. Bitte CF laufen lassen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Gali 30.12.2009 14:07
So, fertig:

Code:
ComboFix 09-12-29.05 - Standard 30.12.2009  13:41:40.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.566 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Standard\Desktop\cofi.exe.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe

.
original MBR restored successfully !
.
(((((((((((((((((((((((  Dateien erstellt von 2009-11-28 bis 2009-12-30  ))))))))))))))))))))))))))))))
.

2009-12-29 11:31 . 2009-12-29 11:31        --------        d-----w-        C:\cofi.exe
2009-12-29 11:11 . 2009-12-29 11:13        --------        d-----w-        C:\Lop SD
2009-12-29 11:04 . 2009-12-29 11:04        --------        d-----w-        c:\programme\CCleaner
2009-12-29 10:58 . 2009-12-29 10:58        --------        d-----w-        c:\dokumente und einstellungen\Administrator.LAPTOP\Anwendungsdaten\Malwarebytes
2009-12-26 14:02 . 2009-12-26 14:02        --------        d-----w-        c:\windows\system32\wbem\Repository
2009-12-25 14:11 . 2009-12-25 14:11        552        ----a-w-        c:\windows\system32\d3d8caps.dat
2009-12-10 15:11 . 2009-12-26 14:01        --------        d-----w-        c:\dokumente und einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\FLVService

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 12:40 . 2007-01-21 15:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-12-29 11:30 . 2008-10-30 16:12        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-12-29 11:00 . 2006-02-28 12:00        85746        ----a-w-        c:\windows\system32\perfc007.dat
2009-12-29 11:00 . 2006-02-28 12:00        460894        ----a-w-        c:\windows\system32\perfh007.dat
2009-12-27 21:24 . 2009-06-09 16:13        53319        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2009-12-26 14:01 . 2009-05-11 19:58        --------        d-----w-        c:\programme\Freecorder
2009-12-10 15:31 . 2007-12-26 10:58        --------        d-----w-        c:\dokumente und einstellungen\Standard\Anwendungsdaten\Skype
2009-12-03 15:14 . 2008-10-30 16:12        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-10-30 16:12        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-11-27 15:51 . 2007-06-12 18:40        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2009-11-15 17:46 . 2009-11-15 17:46        411368        ----a-w-        c:\windows\system32\deploytk.dll
2009-11-02 19:42 . 2009-10-10 08:41        195456        ------w-        c:\windows\system32\MpSigStub.exe
2009-10-29 07:41 . 2006-02-28 12:00        832512        ----a-w-        c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2006-02-28 12:00        78336        ----a-w-        c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2006-02-28 12:00        17408        ------w-        c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2006-02-28 12:00        75776        ----a-w-        c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-02-28 12:00        25088        ----a-w-        c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-02-28 12:00        265728        ----a-w-        c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2006-02-28 12:00        271360        ----a-w-        c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-02-28 12:00        79872        ----a-w-        c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2006-02-28 12:00        150528        ----a-w-        c:\windows\system32\rastls.dll
2008-11-17 12:36 . 2007-10-03 19:23        122880        ----a-w-        c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\programme\Freecorder\tbFre1.dll" [2009-09-22 2215960]

[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
2009-09-22 14:57        2215960        ----a-w-        c:\programme\Freecorder\tbFre1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\programme\Freecorder\tbFre1.dll" [2009-09-22 2215960]

[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "c:\programme\Freecorder\tbFre1.dll" [2009-09-22 2215960]

[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-12 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"nwiz"="nwiz.exe" [2006-06-12 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-14 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-20 3080192]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-11-17 29744]
"NapsterShell"="c:\programme\Napster\napster.exe" [2008-12-18 323216]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-01-10 385024]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-12-06 185896]
"Server Application"="c:\windows\system32\ServoApp.exe" [2007-05-20 417792]
"GDI Manager"="c:\programme\MFP Server\App\Common\MFPAgent.exe" [2008-05-06 741376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\MAGIX\\MP3_Maker_Centurion\\MP3Maker.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\MFP Server\\App\\Common\\MFPAgent.exe"=
"c:\\Programme\\MFP Server\\App\\Common\\MFPAdmin.exe"=
"c:\\Programme\\MFP Server\\Driver\\MFP Driver\\2KXP\\MFPSetup.exe"=
"c:\\Acer\\Empowering Technology\\ePower\\Acer ePower Management.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\Standard\\Eigene Dateien\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3246:TCP"= 3246:TCP:Services

R2 ALIWEHCD;MFP Server Enhanced Controller;c:\windows\system32\drivers\mfpec.sys [11.05.2009 20:32 34944]
R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [13.09.2008 09:14 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [13.09.2008 09:14 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;c:\programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [13.09.2008 09:14 41217]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [07.08.2009 12:25 222968]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 18:19 13592]
R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [19.06.2006 12:20 1097728]
R3 WUSBVBus;MFP Server Detector;c:\windows\system32\drivers\mfpvbus.sys [11.05.2009 20:32 10240]
S2 gupdate1c957c27d707044;Google Update Service (gupdate1c957c27d707044);c:\programme\Google\Update\GoogleUpdate.exe [06.12.2008 17:48 133104]
S3 AliWGP;Composite Device;c:\windows\system32\drivers\mfpcomp.sys [11.05.2009 20:32 10880]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [21.03.2007 19:08 1527900]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [21.01.2007 16:07 29744]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-11-27 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-15 13:02]

2009-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2008-12-06 11:44]

2009-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2008-12-06 11:44]

2009-12-30 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Standard\Anwendungsdaten\Mozilla\Firefox\Profiles\d6g3nevh.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-LuPO_is1 - g:\lupo\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-30 13:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(952)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(3412)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir PersonalEdition Premium\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\unsecapp.exe
c:\dokume~1\Standard\LOKALE~1\Temp\RtkBtMnt.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-30  13:46:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-30 12:46
ComboFix2.txt  2008-10-30 21:56

Vor Suchlauf: 11 Verzeichnis(se), 50.142.556.160 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 50.391.822.336 Bytes frei

- - End Of File - - 9BDD20E8DC30E5649E7798D3432DC348

cosinus 30.12.2009 15:10
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
KILLALL::

File::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"2479:TCP"=-
"3246:TCP"=-

Driver::
ICQ Service
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Gali 31.12.2009 11:17
Hallo Cosinus,

Unten die neue Logfile. Hab da auch noch ne andere Frage: Sollte man Dateien, die von AntiVir oder Malwarebytes in die Quarantäne geschickt wurden, grundsätzlich löschen?
Danke schonmal für Deine weitere Hilfe! Bin so froh, dass es Euch gibt!

Code:
ComboFix 09-12-29.05 - Standard 31.12.2009  10:57:47.3.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.507 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Standard\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Standard\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

FILE ::
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICQ_SERVICE
-------\Service_ICQ Service


(((((((((((((((((((((((  Dateien erstellt von 2009-11-28 bis 2009-12-31  ))))))))))))))))))))))))))))))
.

2009-12-29 11:31 . 2009-12-29 11:31        --------        d-----w-        C:\cofi.exe
2009-12-29 11:11 . 2009-12-29 11:13        --------        d-----w-        C:\Lop SD
2009-12-29 11:04 . 2009-12-29 11:04        --------        d-----w-        c:\programme\CCleaner
2009-12-29 10:58 . 2009-12-29 10:58        --------        d-----w-        c:\dokumente und einstellungen\Administrator.LAPTOP\Anwendungsdaten\Malwarebytes
2009-12-26 14:02 . 2009-12-26 14:02        --------        d-----w-        c:\windows\system32\wbem\Repository
2009-12-25 14:11 . 2009-12-25 14:11        552        ----a-w-        c:\windows\system32\d3d8caps.dat
2009-12-10 15:11 . 2009-12-26 14:01        --------        d-----w-        c:\dokumente und einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\FLVService

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 12:40 . 2007-01-21 15:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-12-29 11:30 . 2008-10-30 16:12        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-12-29 11:00 . 2006-02-28 12:00        85746        ----a-w-        c:\windows\system32\perfc007.dat
2009-12-29 11:00 . 2006-02-28 12:00        460894        ----a-w-        c:\windows\system32\perfh007.dat
2009-12-26 14:01 . 2009-05-11 19:58        --------        d-----w-        c:\programme\Freecorder
2009-12-10 15:31 . 2007-12-26 10:58        --------        d-----w-        c:\dokumente und einstellungen\Standard\Anwendungsdaten\Skype
2009-12-03 15:14 . 2008-10-30 16:12        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-10-30 16:12        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-11-27 15:51 . 2007-06-12 18:40        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2009-11-15 17:46 . 2009-11-15 17:46        411368        ----a-w-        c:\windows\system32\deploytk.dll
2009-11-02 19:42 . 2009-10-10 08:41        195456        ------w-        c:\windows\system32\MpSigStub.exe
2009-10-29 07:41 . 2006-02-28 12:00        832512        ------w-        c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2006-02-28 12:00        78336        ----a-w-        c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2006-02-28 12:00        17408        ------w-        c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2006-02-28 12:00        75776        ----a-w-        c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-02-28 12:00        25088        ----a-w-        c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-02-28 12:00        265728        ----a-w-        c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2006-02-28 12:00        271360        ----a-w-        c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-02-28 12:00        79872        ----a-w-        c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2006-02-28 12:00        150528        ----a-w-        c:\windows\system32\rastls.dll
2008-11-17 12:36 . 2007-10-03 19:23        122880        ----a-w-        c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\programme\Freecorder\tbFre0.dll" [2009-12-30 2166296]

[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
2009-12-30 12:51        2166296        ----a-w-        c:\programme\Freecorder\tbFre0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\programme\Freecorder\tbFre0.dll" [2009-12-30 2166296]

[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "c:\programme\Freecorder\tbFre0.dll" [2009-12-30 2166296]

[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-12 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"nwiz"="nwiz.exe" [2006-06-12 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-14 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-20 3080192]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-11-17 29744]
"NapsterShell"="c:\programme\Napster\napster.exe" [2008-12-18 323216]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-01-10 385024]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-12-06 185896]
"Server Application"="c:\windows\system32\ServoApp.exe" [2007-05-20 417792]
"GDI Manager"="c:\programme\MFP Server\App\Common\MFPAgent.exe" [2008-05-06 741376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\MAGIX\\MP3_Maker_Centurion\\MP3Maker.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\MFP Server\\App\\Common\\MFPAgent.exe"=
"c:\\Programme\\MFP Server\\App\\Common\\MFPAdmin.exe"=
"c:\\Programme\\MFP Server\\Driver\\MFP Driver\\2KXP\\MFPSetup.exe"=
"c:\\Acer\\Empowering Technology\\ePower\\Acer ePower Management.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\Standard\\Eigene Dateien\\Skype.exe"=

R2 ALIWEHCD;MFP Server Enhanced Controller;c:\windows\system32\drivers\mfpec.sys [11.05.2009 20:32 34944]
R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [13.09.2008 09:14 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [13.09.2008 09:14 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;c:\programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [13.09.2008 09:14 41217]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 18:19 13592]
R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [19.06.2006 12:20 1097728]
R3 WUSBVBus;MFP Server Detector;c:\windows\system32\drivers\mfpvbus.sys [11.05.2009 20:32 10240]
S2 gupdate1c957c27d707044;Google Update Service (gupdate1c957c27d707044);c:\programme\Google\Update\GoogleUpdate.exe [06.12.2008 17:48 133104]
S3 AliWGP;Composite Device;c:\windows\system32\drivers\mfpcomp.sys [11.05.2009 20:32 10880]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [21.03.2007 19:08 1527900]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [21.01.2007 16:07 29744]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-11-27 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-15 13:02]

2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2008-12-06 11:44]

2009-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2008-12-06 11:44]

2009-12-31 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Standard\Anwendungsdaten\Mozilla\Firefox\Profiles\d6g3nevh.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 10:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(952)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(3192)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir PersonalEdition Premium\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\unsecapp.exe
c:\dokume~1\Standard\LOKALE~1\Temp\RtkBtMnt.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-31  10:59:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-31 09:59
ComboFix2.txt  2009-12-30 12:46
ComboFix3.txt  2008-10-30 21:56

Vor Suchlauf: 12 Verzeichnis(se), 50.367.922.176 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 50.338.955.264 Bytes frei

- - End Of File - - B71B0E2208CB218E0603EAF85751895D

cosinus 31.12.2009 11:28
Das Log sieht ok aus. Noch Auffälligkeiten/Probleme/Meldungen?

Gali 31.12.2009 11:40
Also heute hat sich der PC bisher noch nicht aufgehängt. Er reagiert auch sehr schnell, ganz anders als vorher.
War's das dann wohl? Lag das nun wohl alles an dem Rootkit? Wo hatte ich den wohl her?
Soll ich noch die Dateien aus der Quarantäne bei den Virenscannern löschen?

Fragen über Fragen!:o Bin jedenfalls schonmal erleichtert und Dir wahnsinnig dankbar!! Vieln vielen Dank!!!:)

cosinus 31.12.2009 11:54
Ja, Du hattest u.a. ein tdss Rootkit, das auch den MBR befällt. Meld Dich bitte wieder wenn Probleme noch da sein sollten.

Gali 31.12.2009 11:57
Mach ich, vielen Dank!!

Könntest Du mir nur noch kurz was sagen zu der Quarantäne-Sache?

Wünsche ansonsten schonmal einen guten Rutsch und alles Gute für 2010!!

cosinus 31.12.2009 11:58
Ja, die Quarantäne kannst Du leeren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131