Trojaner-Board - Trojan.Dropper & Trojan.Agent

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.Dropper & Trojan.Agent (https://www.trojaner-board.de/83758-trojan-dropper-trojan-agent.html)

Trojan.Dropper & Trojan.Agent

Hallo,

Avira zeigte auf dem Rechner einer Freundin eine Virenmeldung an. Laut eigener Aussage hat sie das Virus mit entsprechender Avirafunktion gelöscht. Allerdings hängt sich nun der Rechner immer wieder auf. Meist bemerkbar dadurch, dass zunächst die Taskleiste nicht mehr funktioniert und sich auch keine Programme mehr aufrufen lassen.
Die Logs aus Avira:

Zitat:

In der Datei 'C:\WINDOWS\Temp\1A.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern
In der Datei 'C:\WINDOWS\Temp\1C.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\Cache\_CACHE_003_' wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden. Ausgeführte Aktion: Datei löschen
In der Datei 'D:\install\jetadamin\wja78-2988-xp-en.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen

Hab den CCleaner und Malwarebytes laufen lassen. Blöderweise stürzt der Rechner jetzt immer ab, so dass ich hier kein Logfile von Malwarebytes posten kann (vorherige Logs wurden beim erneuten Start des Programms überschrieben). Folgende, die ich mir notiert hatte, wurden aber bei vergangenen Scans angezeigt:

Zitat:

Trojan.Dropper in c:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\teycig.dll
Trojan.Dropper in c:\Dokumente und Einstellungen\***\Lokale Einstellungen\teycig.dll
Trojan.Agent in c:\Uninstall.exe
Disabled.SecurityCenter in HKEY_LOCAL_MACHINE\Software\Microsoft\SecurityCenter\UpdatesDisableNotify

Hier das RSI-Logfile:

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by ... at 2010-03-15 09:18:49
Microsoft Windows XP Professional Service Pack 2
System drive C: has 43 GB (43%) free of 100 GB
Total RAM: 1006 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:54, on 15.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\LxrJD31s.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Temp\RSIT.exe
C:\Programme\trend micro\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.101:3128
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-307.ibm.com/pc/support/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16185201-ACEA-44F7-841D-98B235EA7BB9}: NameServer = 212.68.75.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5D29D33-D81C-4BDC-975B-D33159F32F87}: NameServer = 212.68.75.11,212.68.88.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{C03273B8-FB4C-4FF0-86F5-C22A47743F2A}: NameServer = 212.68.75.11,212.68.88.11
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5077 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll [2007-07-12 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2003-04-28 360448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"SigmatelSysTrayApp"=sttray.exe []
"nwiz"=nwiz.exe /install []
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-03-09 7561216]
"IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2003-04-07 155648]
"Dit"=C:\WINDOWS\Dit.exe [2003-07-16 86016]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd []
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2004-02-24 335872]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio]
C:\Programme\Intel Audio Studio\IntelAudioStudio.exe [2006-08-02 9134080]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
C:\WINDOWS\system32\PSDrvCheck.exe [2004-03-10 406016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSDrvCheck]
c:\programme\pinnacle\edition 5\program\PSDrvCheck.exe -CheckReg []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2004-12-20 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe [2007-07-12 132496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-06-11 185784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WAHRIG.digital Launcher]
C:\Programme\WAHRIG.digital\wahrig.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WUSB54Gv4]
C:\Programme\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe [2004-04-19 24576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [2003-11-15 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
C:\PROGRA~1\INTERV~1\Common\Bin\WINCIN~1.EXE [2003-12-12 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SCardDrv"=3
"WUSB54Gv4SVC"=2
"WUSB54Gv42SVC"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-04-07 315392]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"LegalNoticeText"=
"LegalNoticeCaption"=

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\HP Web Jetadmin\hpwebjetd.exe"="C:\Programme\HP Web Jetadmin\hpwebjetd.exe:*:Enabled:Apache HTTP Server"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Programme\Hewlett-Packard\HP Download Manager\hpjdwnld.exe"="C:\Programme\Hewlett-Packard\HP Download Manager\hpjdwnld.exe:*:Enabled:hpjdwnld"
"C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE:*:Enabled:Connection Manager"
"C:\Programme\Last.fm\LastFM.exe"="C:\Programme\Last.fm\LastFM.exe:*:Enabled:Last.fm"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-03-15 09:18:49 ----D---- C:\rsit
2010-03-15 09:18:49 ----D---- C:\Programme\trend micro
2010-03-14 17:21:48 ----A---- C:\WINDOWS\ntbtlog.txt
2010-03-14 15:16:23 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2010-03-14 15:16:17 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-14 15:16:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-14 15:01:53 ----D---- C:\Programme\CCleaner
2010-03-14 10:57:05 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\QuickScan

======List of files/folders modified in the last 1 months======

2010-03-15 09:18:49 ----RD---- C:\Programme
2010-03-15 09:17:26 ----D---- C:\WINDOWS\system32
2010-03-15 09:17:26 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-03-15 09:15:46 ----D---- C:\WINDOWS\Temp
2010-03-15 09:13:50 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-15 07:42:28 ----D---- C:\Programme\Mozilla Thunderbird
2010-03-14 18:31:35 ----D---- C:\WINDOWS\system32\drivers
2010-03-14 17:21:48 ----AD---- C:\WINDOWS
2010-03-14 16:06:42 ----D---- C:\Programme\Mozilla Firefox
2010-03-14 15:07:55 ----D---- C:\WINDOWS\Debug
2010-03-14 15:07:54 ----D---- C:\WINDOWS\Minidump
2010-03-14 14:43:38 ----D---- C:\Dokumente und Einstellungen
2010-03-13 18:28:29 ----A---- C:\WINDOWS\winamp.ini
2010-03-12 11:26:19 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Move Networks
2010-03-02 16:55:51 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2010-03-02 16:55:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []
R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOWS\System32\drivers\prodrv06.sys [2004-01-26 52224]
R1 sf;SFI Service; C:\WINDOWS\system32\drivers\sf.sys [2003-05-09 33248]
R1 SSHDRV5C;SSHDRV5C; \??\C:\WINDOWS\System32\drivers\SSHDRV5C.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2008-08-09 20747]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 EPoXUSDM;EPoXUSDM; C:\WINDOWS\system32\drivers\EPoXUSDM.sys [2004-05-24 6192]
R2 LxrJD31d;LxrJD31d; \??\C:\WINDOWS\system32\Drivers\LxrJD31d.sys []
R3 ASAPIW2k;ASAPIW2K; C:\WINDOWS\system32\drivers\ASAPIW2k.sys [2004-03-10 11264]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HECI;Intel(R) Management Engine Interface; C:\WINDOWS\system32\DRIVERS\HECI.sys [2006-07-29 43392]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 MarvinBus;Pinnacle Marvin Bus; C:\WINDOWS\System32\DRIVERS\MarvinBus.sys [2005-01-28 171008]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-03-09 3650368]
R3 sfng32;Sonic Focus Plugin for Sigmatel HDA; C:\WINDOWS\system32\drivers\sfng32.sys [2005-12-02 41728]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2006-07-27 1171464]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 WUSB54GV4SRV;Linksys Wireless-G USB Network Adapter Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-10-17 245376]
S3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-04-15 113504]
S3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-04-15 78752]
S3 61883;61883-Einheitsgerät; C:\WINDOWS\System32\DRIVERS\61883.sys [2004-08-03 48128]
S3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2003-03-14 100224]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
S3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2004-08-04 701952]
S3 Avc;AVC-Gerät; C:\WINDOWS\System32\DRIVERS\avc.sys [2004-08-03 38912]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\System32\DRIVERS\b57xp32.sys [2003-05-21 175360]
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2003-11-06 755392]
S3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2003-03-04 145408]
S3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1e5132.sys [2006-07-26 231424]
S3 EGATHDRV;IBM Access Support; \??\C:\WINDOWS\Downloaded Program Files\EGATHDRV.SYS []
S3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\ialmnt5.sys [2003-04-15 90907]
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
S3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\System32\DRIVERS\msdv.sys [2004-08-03 51328]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-06-02 578304]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WUSB54GPV4SRV;Linksys Home Wireless-G USB Adaptor Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-10-17 245376]
S4 Splpdmov;Splpdmov; C:\WINDOWS\system32\drivers\Splpdmov.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 LxrJD31s;Lexar JD31; C:\WINDOWS\system32\LxrJD31s.exe [2005-05-06 71168]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-03-09 143436]
S2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\System32\Ati2evxx.exe [2004-02-24 397312]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2004-02-24 516096]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2003-11-19 68096]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2010-01-09 655624]
S4 WUSB54Gv42SVC;WUSB54Gv42SVC; C:\Programme\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe [2005-07-04 53307]

-----------------EOF-----------------

Ich hoffe, diese Informationen reichen. Vielen Dank schonmal!
Wen

Hallo und :hallo:

mach bitte einen Durchgang mit Malwarebytes und poste das Log.

Lade dir danach Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hallo cosinus,

also hier erstmal die lopR.txt. Den Malwarebytes-Scan werde ich gleich nochmal probieren. Bezweifel aber, dass das klappt; so oft wie die Kiste mittlerweile abschmiert.

Vielen Dank schonmal!
Wen

Zitat:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 15.03.2010|13:15 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[22.11.2005|16:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
[18.09.2009|19:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[19.09.2009|09:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CanonBJ
[09.01.2010|15:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
[17.02.2009|20:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
[20.04.2008|11:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ElsterFormular
[19.11.2003|23:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macrovision
[14.03.2010|15:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[26.08.2005|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[07.11.2008|11:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
[20.12.2004|22:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Pinnacle
[27.07.2005|22:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[01.01.2005|20:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SmartSound Software Inc
[13.05.2007|08:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[20.11.2005|16:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[18|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[26.01.2004|20:11] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Ahead
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\ArcSoft
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bertelsmann
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Canon
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\CD-LabelPrint
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Corel
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Help
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Identities
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\InterVideo
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Lavasoft
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Macromedia
[14.03.2010|16:24] C:\DOKUME~1\HELPAS~1\ANWEND~1\Malwarebytes
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft Web Folders
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Move Networks
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Mozilla
[14.03.2010|14:44] C:\DOKUME~1\HELPAS~1\ANWEND~1\Opera
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\Pixmantec
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\QuickScan
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\Real
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\ScanSoft
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sun
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\Talkback
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\Thunderbird
[14.03.2010|14:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes
[29|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes frei

[26.01.2004|20:11] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[06.02.2005|21:03] C:\DOKUME~1\***\ANWEND~1\Ahead
[23.11.2004|22:28] C:\DOKUME~1\***\ANWEND~1\ArcSoft
[02.01.2007|15:22] C:\DOKUME~1\***\ANWEND~1\Bertelsmann
[23.03.2005|19:54] C:\DOKUME~1\***\ANWEND~1\Canon
[12.09.2004|14:25] C:\DOKUME~1\***\ANWEND~1\CD-LabelPrint
[22.09.2005|15:40] C:\DOKUME~1\***\ANWEND~1\Corel
[05.02.2004|17:49] C:\DOKUME~1\***\ANWEND~1\Help
[26.01.2004|20:17] C:\DOKUME~1\***\ANWEND~1\Identities
[29.07.2005|15:42] C:\DOKUME~1\***\ANWEND~1\InterVideo
[26.08.2005|12:48] C:\DOKUME~1\***\ANWEND~1\Lavasoft
[18.04.2004|11:00] C:\DOKUME~1\***\ANWEND~1\Macromedia
[14.03.2010|15:16] C:\DOKUME~1\***\ANWEND~1\Malwarebytes
[24.05.2007|21:09] C:\DOKUME~1\***\ANWEND~1\Microsoft
[26.01.2004|22:40] C:\DOKUME~1\***\ANWEND~1\Microsoft Web Folders
[12.03.2010|11:26] C:\DOKUME~1\***\ANWEND~1\Move Networks
[29.04.2006|20:30] C:\DOKUME~1\***\ANWEND~1\Mozilla
[26.01.2004|22:51] C:\DOKUME~1\***\ANWEND~1\Opera
[23.10.2006|18:02] C:\DOKUME~1\***\ANWEND~1\Pixmantec
[14.03.2010|10:58] C:\DOKUME~1\***\ANWEND~1\QuickScan
[11.06.2007|13:09] C:\DOKUME~1\***\ANWEND~1\Real
[23.11.2004|22:20] C:\DOKUME~1\***\ANWEND~1\ScanSoft
[26.01.2004|22:51] C:\DOKUME~1\***\ANWEND~1\Sun
[07.12.2006|14:41] C:\DOKUME~1\***\ANWEND~1\Talkback
[29.04.2006|19:42] C:\DOKUME~1\***\ANWEND~1\Thunderbird
[27.01.2008|19:16] C:\DOKUME~1\***\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes
[29|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei

[26.01.2004|20:11] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[20.11.2005 21:41][--ah-----] C:\WINDOWS\tasks\SA.DAT
[18.08.2001 20:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[11.12.2007|12:20] C:\Programme\Acro Software
[23.11.2005|17:57] C:\Programme\Ahead
[18.09.2009|18:43] C:\Programme\AntiVir PersonalEdition Classic
[23.03.2005|19:41] C:\Programme\ArcSoft
[17.03.2004|18:36] C:\Programme\ATI Technologies
[21.10.2004|14:11] C:\Programme\AvantGo Connect
[18.09.2009|19:03] C:\Programme\Avira
[21.11.2009|20:38] C:\Programme\Canon
[14.03.2010|15:06] C:\Programme\CCleaner
[16.12.2006|09:32] C:\Programme\CeWe Color
[26.01.2004|20:25] C:\Programme\C-Media 3D Audio
[22.09.2005|15:43] C:\Programme\Color
[21.10.2004|14:11] C:\Programme\Common Files
[26.01.2004|20:09] C:\Programme\ComPlus Applications
[06.10.2007|12:10] C:\Programme\Config
[16.02.2006|18:15] C:\Programme\coolpro2
[22.09.2005|15:44] C:\Programme\Corel
[30.04.2009|18:30] C:\Programme\Custom
[04.05.2004|19:30] C:\Programme\directx
[20.01.2010|20:20] C:\Programme\DivX
[22.09.2005|16:09] C:\Programme\Draw
[23.11.2004|16:01] C:\Programme\DVD Shrink
[15.03.2004|14:38] C:\Programme\EGOSOFT
[30.12.2006|12:38] C:\Programme\Encoder
[06.09.2004|10:31] C:\Programme\EPOX
[09.01.2007|17:07] C:\Programme\Exact Audio Copy
[10.03.2004|20:24] C:\Programme\ExtractNow
[16.07.2006|12:34] C:\Programme\FileZilla
[22.09.2005|15:44] C:\Programme\Filters
[19.02.2008|09:05] C:\Programme\Foxit Reader
[09.01.2010|19:28] C:\Programme\Gemeinsame Dateien
[11.12.2007|12:21] C:\Programme\GPLGS
[16.04.2004|15:20] C:\Programme\heureka
[26.04.2005|11:37] C:\Programme\Hewlett-Packard
[31.05.2004|20:56] C:\Programme\Illustrate
[22.11.2009|10:44] C:\Programme\InstallShield Installation Information
[13.12.2006|21:16] C:\Programme\Intel
[13.12.2006|21:13] C:\Programme\Intel Audio Studio
[19.10.2005|23:28] C:\Programme\Internet Explorer
[29.07.2005|00:49] C:\Programme\InterVideo
[19.08.2007|06:39] C:\Programme\Java
[26.08.2005|12:48] C:\Programme\Lavasoft
[09.08.2008|07:53] C:\Programme\Linksys Wireless-G USB Wireless Network Monitor
[14.03.2010|15:16] C:\Programme\Malwarebytes' Anti-Malware
[20.11.2005|21:41] C:\Programme\Messenger
[21.10.2004|14:11] C:\Programme\Microsoft ActiveSync
[26.01.2004|22:40] C:\Programme\microsoft frontpage
[26.01.2004|22:40] C:\Programme\Microsoft Office
[05.02.2005|17:28] C:\Programme\Movie Maker
[14.03.2010|16:06] C:\Programme\Mozilla Firefox
[15.03.2010|07:42] C:\Programme\Mozilla Thunderbird
[26.01.2004|20:09] C:\Programme\MSN
[26.01.2004|20:09] C:\Programme\MSN Gaming Zone
[21.10.2004|14:12] C:\Programme\NAVIGON GmbH
[05.02.2005|17:26] C:\Programme\NetMeeting
[26.01.2004|20:09] C:\Programme\Online Services
[26.01.2004|20:10] C:\Programme\Online-Dienste
[05.02.2005|17:26] C:\Programme\Outlook Express
[22.09.2005|15:40] C:\Programme\PaperTypes
[16.07.2006|11:40] C:\Programme\phase5
[22.09.2005|15:49] C:\Programme\Photopnt
[23.11.2004|22:19] C:\Programme\PhotoStudio 5.5
[20.12.2004|19:43] C:\Programme\Pinnacle
[23.10.2006|18:40] C:\Programme\Pixmantec
[22.09.2005|15:40] C:\Programme\Plugins
[22.09.2005|15:42] C:\Programme\Programs
[20.12.2004|19:58] C:\Programme\QuickTime
[22.09.2005|15:52] C:\Programme\Rave
[11.06.2007|13:07] C:\Programme\Real
[22.09.2005|15:43] C:\Programme\Register
[23.11.2004|22:20] C:\Programme\ScanSoft
[13.12.2006|21:12] C:\Programme\SigmaTel
[22.09.2005|15:43] C:\Programme\Skripts
[20.12.2004|22:56] C:\Programme\SmartSound Software
[22.09.2005|15:40] C:\Programme\Symbols
[13.09.2006|13:37] C:\Programme\tippsy2
[15.03.2010|09:18] C:\Programme\trend micro
[22.09.2005|15:46] C:\Programme\Tutors
[26.01.2004|20:17] C:\Programme\Uninstall Information
[27.01.2008|19:15] C:\Programme\VLC
[27.05.2006|19:47] C:\Programme\Winamp
[05.02.2005|17:29] C:\Programme\Windows Media Player
[05.02.2005|17:26] C:\Programme\Windows NT
[29.08.2004|18:55] C:\Programme\WindowsUpdate
[31.03.2004|09:11] C:\Programme\WinRAR
[22.03.2004|14:26] C:\Programme\WinZip
[22.09.2005|15:40] C:\Programme\Workspace
[21.11.2009|20:46] C:\Programme\X2 - Die Bedrohung
[26.01.2004|20:11] C:\Programme\xerox
[20.11.2005|21:38] C:\Programme\xp-AntiSpy
[17.09.2006|08:57] C:\Programme\XPcleanv5
[25.01.2010|21:33] C:\Programme\Zone Labs
[10.01.2007|10:00] C:\Programme\Zoundry Blog Writer
[0|Datei(en)] C:\Programme\Bytes
[97|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[23.11.2005|17:56] C:\Programme\Gemeinsame Dateien\Ahead
[26.01.2004|22:41] C:\Programme\Gemeinsame Dateien\Designer
[26.01.2004|20:10] C:\Programme\Gemeinsame Dateien\Dienste
[20.01.2010|20:19] C:\Programme\Gemeinsame Dateien\DivX Shared
[04.05.2004|19:53] C:\Programme\Gemeinsame Dateien\InstallShield
[26.01.2004|22:51] C:\Programme\Gemeinsame Dateien\Java
[09.01.2010|19:20] C:\Programme\Gemeinsame Dateien\Macrovision Shared
[05.07.2004|08:09] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[26.01.2004|20:10] C:\Programme\Gemeinsame Dateien\MSSoap
[26.01.2004|20:03] C:\Programme\Gemeinsame Dateien\ODBC
[11.06.2007|13:07] C:\Programme\Gemeinsame Dateien\Real
[26.01.2004|20:03] C:\Programme\Gemeinsame Dateien\SpeechEngines
[05.02.2005|17:26] C:\Programme\Gemeinsame Dateien\System
[22.09.2005|15:36] C:\Programme\Gemeinsame Dateien\Vbox
[11.06.2007|13:07] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[20|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 29 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-15 13:16:02
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:19][D:1]-> C:\DOKUME~1\***\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\***\Cookies
[F:7][D:4]-> C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 15.03.2010|13:16 - Option : [1]

--------------------\\ Scan beendet um 13:16:36

Der Malwarebytes-Scan hat geklappt. Es wurden keine infizierten Dateien gefunden. Könnte es sein, dass sich das Virus/der Trojaner bereits anderweitig in das System eingenistet hat und so einfach nicht mehr entdeckt werden kann?

Fallen Euch weitere (Diagnose)Möglichkeiten ein um dem komischen Absturz-Verhalten auf die Schliche zu kommen?

Wen

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

C:\WINDOWS\system32\drivers\Splpdmov.sys
 

drivers to delete:

Splpdmov

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Et voilà:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\drivers\Splpdmov.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\Splpdmov.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "Splpdmov" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

backup.zip poste ich gleich.

Hier die backup.zip.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe CCleaner nochmals ausgeführt und anschließend ComboFix gestartet. Am Ende des Scans wurde ein Popup angezeigt: "CCleaner hat Rootkitaktivitäten festgestellt..." und die Aufforderung, den Computer von ComboFix neu starten zu lassen.

Aktuell ist im Hintergrund nur der leere Desktop zu sehen und vorn das blaue ComboFix-Fenster. Offensichtlich hat sich der Rechner wieder aufgehängt. Kann ich trotz der Warnung, das nicht zu tun, einen manuellen Neustart machen? Eigentlich bleibt mir ja nichts anderes übrig.

Ich dachte CF hat aufgefordert, den Rechner neu zu starten :confused:
Naja, wenn nichts mehr geht, bleibt Dir nichts anderes übrig als manuell zu rebooten...

- doppelt, bitte ignorieren -

Hab es jetzt nochmal versucht. Gleiches Problem: ComboFix warnt, den Rechner nicht manuell neu zu starten. Da der Rechner wieder abgestürzt ist, mach ich es trotzdem. Unter c:\ ist leider keine cofi.txt angelegt. Lediglich ein Ordner c:\cofi, der als Icon das Arbeitsplatzicon hat. Wenn ich den öffne, sehe ich darin eine Spiegelung von c:\

Was bleibt jetzt übrig?

Nochwas ist mir aufgefallen: Beim Ausführen der Registry-Fehlerbehebung in CCleaner wurde mir immer wieder "Ungenutzte Datei-Endungen - {langer Schlüssel}" als Fehler in der Registry gefunden. Ein Löschen scheint nix zu bringen, der Fehler erscheint bei jeder Suche aufs Neue.

So, jetzt hat es geklappt. Hier die log.txt vom ComboFix-Durchlauf. Seh ich richtig, das ComboFix was gefunden und bereinigt hat?

Zitat:

ComboFix 10-03-14.06 - *** 15.03.2010 16:57:30.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG.TXT
c:\windows\eSellerateEngine.dll

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
original MBR restored successfully !
.
((((((((((((((((((((((( Dateien erstellt von 2010-02-15 bis 2010-03-15 ))))))))))))))))))))))))))))))
.

2010-03-15 14:56 . 2003-03-11 02:17 85265 ----a-r- c:\windows\system32\drivers\SI3112r_2.sys
2010-03-15 11:55 . 2010-03-15 12:16 -------- d-----w- C:\Lop SD
2010-03-15 10:20 . 2010-03-15 10:20 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-03-15 10:20 . 2009-11-22 14:42 69000 ----a-w- c:\windows\system32\zlcomm.dll
2010-03-15 10:20 . 2009-11-22 14:42 103816 ----a-w- c:\windows\system32\zlcommdb.dll
2010-03-15 10:20 . 2010-03-15 10:20 -------- d-----w- c:\windows\system32\ZoneLabs
2010-03-15 10:20 . 2009-11-22 14:42 1238408 ----a-w- c:\windows\system32\zpeng25.dll
2010-03-15 08:18 . 2010-03-15 08:19 -------- d-----w- C:\rsit
2010-03-15 08:18 . 2010-03-15 08:18 -------- d-----w- c:\programme\trend micro
2010-03-14 14:16 . 2010-03-14 14:16 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-03-14 14:16 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-14 14:16 . 2010-03-14 14:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-14 14:16 . 2010-03-14 14:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-14 14:16 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-14 14:01 . 2010-03-14 14:06 -------- d-----w- c:\programme\CCleaner
2010-03-14 13:45 . 2010-03-15 08:02 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien
2010-03-14 13:45 . 2010-03-14 13:45 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Bilder
2010-03-14 13:45 . 2010-03-14 13:45 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Dissertation
2010-03-14 13:45 . 2010-03-14 13:45 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\bilder-texterfassung
2010-03-14 13:45 . 2010-03-14 13:45 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\backup16062002
2010-03-14 09:57 . 2010-03-14 09:58 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\QuickScan
2010-03-14 09:57 . 2010-03-05 17:33 791456 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-03-14 09:57 . 2010-03-05 17:03 629152 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-03-12 10:26 . 2010-03-12 10:26 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Move Networks
2010-03-12 10:26 . 2010-03-12 10:26 144053 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks\uninstall.exe
2010-03-12 10:26 . 2010-03-12 10:26 1811472 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks\MoveMediaPlayerWin_071802000001.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-15 16:06 . 2001-08-18 19:00 48354 ----a-w- c:\windows\system32\perfc007.dat
2010-03-15 16:06 . 2001-08-18 19:00 316924 ----a-w- c:\windows\system32\perfh007.dat
2010-03-15 15:36 . 2010-03-15 11:48 1074971 ----a-w- c:\windows\Internet Logs\tvDebug.Zip
2010-03-15 13:39 . 2010-03-15 13:52 1582080 ----a-w- c:\windows\Internet Logs\xDB6.tmp
2010-03-15 13:06 . 2010-03-15 13:33 25088 ----a-w- c:\windows\Internet Logs\xDB4.tmp
2010-03-15 13:06 . 2010-03-15 13:33 1581568 ----a-w- c:\windows\Internet Logs\xDB5.tmp
2010-03-15 11:49 . 2010-03-15 11:52 8704 ----a-w- c:\windows\Internet Logs\xDB3.tmp
2010-03-15 11:47 . 2010-03-15 11:49 1576960 ----a-w- c:\windows\Internet Logs\xDB2.tmp
2010-03-15 11:43 . 2010-03-15 11:49 30208 ----a-w- c:\windows\Internet Logs\xDB1.tmp
2010-03-15 08:54 . 2004-02-10 09:19 62224 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-15 06:42 . 2006-04-29 18:41 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-03-12 10:26 . 2009-05-11 17:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks
2010-03-12 10:26 . 2010-02-11 19:31 5640640 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
2010-02-11 19:31 . 2010-02-11 19:31 97216 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks\ie_bin\MovePlayerUpgrade.exe
2010-01-25 20:33 . 2010-01-25 20:33 -------- d-----w- c:\programme\Zone Labs
2010-01-20 19:20 . 2007-07-05 18:48 -------- d-----w- c:\programme\DivX
2010-01-20 19:19 . 2010-01-20 19:19 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2006-12-16 08:32 . 2006-12-16 08:31 23663088 ----a-w- c:\programme\Mein_CEWE_FOTOBUCH.exe
2004-03-16 15:48 . 2004-03-16 15:48 21 ----a-w- c:\programme\AVPersonalAVWIN.INI
2000-10-16 18:43 . 2000-10-16 18:43 50881 ----a-w- c:\programme\Readme.html
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2006-03-09 1519616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-07 155648]
"Dit"="Dit.exe" [2003-07-16 86016]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-24 335872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio]
2006-08-02 16:17 9134080 ----a-w- c:\programme\Intel Audio Studio\IntelAudioStudio.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
2004-03-10 15:26 406016 ----a-w- c:\windows\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2004-12-20 18:58 98304 ----a-w- c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-07-12 02:00 132496 ----a-w- c:\programme\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2007-06-11 12:07 185784 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2006-03-30 15:45 313472 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WUSB54Gv4]
2004-04-19 07:19 24576 ----a-w- c:\programme\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SCardDrv"=3 (0x3)
"WUSB54Gv4SVC"=2 (0x2)
"WUSB54Gv42SVC"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Hewlett-Packard\\HP Download Manager\\hpjdwnld.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3246:TCP"= 3246:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [26.01.2004 20:35 85265]
R1 SSHDRV5C;SSHDRV5C;c:\windows\system32\drivers\SSHDRV5C.sys [01.02.2004 20:06 34816]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 19:03 108289]
R3 WUSB54GV4SRV;Linksys Wireless-G USB Network Adapter Driver;c:\windows\system32\drivers\rt2500usb.sys [13.07.2005 13:33 245376]
S0 hptpro;hptpro;c:\windows\system32\drivers\hptpro.sys [14.07.2003 12:01 9809]
S4 WUSB54Gv42SVC;WUSB54Gv42SVC;c:\programme\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe [09.08.2008 07:53 53307]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = 192.168.10.101:3128
uInternet Settings,ProxyOverride = <local>
IE: Easy-WebPrint Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
TCP: {16185201-ACEA-44F7-841D-98B235EA7BB9} = 212.68.75.11
TCP: {A5D29D33-D81C-4BDC-975B-D33159F32F87} = 212.68.75.11,212.68.88.11
TCP: {C03273B8-FB4C-4FF0-86F5-C22A47743F2A} = 212.68.75.11,212.68.88.11
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-SigmatelSysTrayApp - sttray.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-OpwareSE2 - c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
MSConfigStartUp-PSDrvCheck - c:\programme\pinnacle\edition 5\program\PSDrvCheck.exe
MSConfigStartUp-WAHRIG - c:\programme\WAHRIG.digital\wahrig.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-15 17:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-220523388-1580436667-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-220523388-1580436667-725345543-1003\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-220523388-1580436667-725345543-1003)
@Allowed: (Read) (S-1-5-21-220523388-1580436667-725345543-1003)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(432)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\LxrJD31s.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\Dit.exe
c:\windows\DitExp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-15 17:07:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-15 16:07

Vor Suchlauf: 15 Verzeichnis(se), 44.711.501.824 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 44.690.427.904 Bytes frei

- - End Of File - - 6F696665498E64FBADD825CEB08FC2A7

Der Rechner läuft wieder einwandfrei. Lieber cosinus, meine Freundin und ich sind wirklich sehr dankbar. Solltest Du mal in der Gegend Stuttgart sein, schreib mir eine PN, dann gibt's ein großes Bier von mir.

Ich möchte mich außerdem mit einer Spende hier ans Bord erkenntlich zeigen. Super, dass es so eine Anlaufstelle gibt.

Alles Gute und nochmal vielen Dank!
Wen

Wir sind noch nicht durch :D

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.