Trojaner-Board - Antimalware Doctor lässt sich einfach nicht entfernen!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antimalware Doctor lässt sich einfach nicht entfernen! (https://www.trojaner-board.de/85874-antimalware-doctor-laesst-einfach-entfernen.html)

Antimalware Doctor lässt sich einfach nicht entfernen!

Hallo!

Seit zwei Tagen habe ich den Antimalware Doctor auf meinem PC und bekomme ihn einfach nicht runter!

Ich habe schon wie wild gegoogelt und auch in diesem Forum schon das ein oder andere gelesen und ausprobiert.

Ich muss dazu sagen, dass ich nicht wirklich Ahnung vom PC habe und wenn da etwas von Logfiles oder so steht, kann ich das leider nicht wirklich nachvollziehen.

Mein Virenprogramm ist Norton. Auf meinem Rechner habe ich Windows XP Home Service Pack 3.

Ich habe bereits den rkill.com drüberlaufen lassen. Musste dazu kurzzeitig mein Norton ausschalten. Habe es danach aber gleich wieder angemacht. Anschließend habe ich jetzt bestimmt schon 6 mal insgesamt den vollständigen Scan von Antimalware Malwarebytes drüberlaufen lassen. Danach auch noch den CCleaner.

Kurzzeitig war der "Doctor" dann auch verschwunden. Nun ist er aber wieder da und ich weiss mir leider nicht mehr zu helfen. Wie gesagt, so viel Ahnung vom PC habe ich eben leider auch nicht.

Ich würde alles machen was man mir hier rät, da ich von einer Freundin auf diese Seite verwiesen wurde. Jede Hilfe nehme ich sehr gerne und sehr dankbar an. Bin wirklich verzweifelt und bitte um Eure Hilfe.

Was auch immer Ihr von mir wollt und wenn Ihr mir erklärt, wie ich das genau machen muss - ich tue es!!!

Schon mal vorab vielen lieben Dank.

Wenn weitere Infos benötigt werden, bitte lasst es mich wissen. Und bitte seht es mir nach, dass ich mich mit Fachbegriffen nicht unbedingt auskenne.

Liebe Grüße, Anja

PS: Ich habe gerade Malwarebytes Anti-Malware nochmal drüberlaufen lassen, angeblich ist jetzt alles "sauber"
(Hatte das schon einmal, dass Malwarebytes Antimalware nichts gefunden hat und auch unter Systemsteuerung - Software tauchte der "Doctor" nicht mehr auf. Ich dachte schon, er sei weg, nach einem Neustart war er plötzlich wieder da, was heißen soll, dass ich es wohl nicht geschafft habe, ihn zu entfernen.)

Hier der aktuellste Report:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4076

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.05.2010 21:48:45
mbam-log-2010-05-08 (21-48-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 198390
Laufzeit: 56 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und :hallo:

Hat Malwarebytes was gefunden? Du musst alle Logfiles davon posten, nur das Logfile wo nichts mehr gefunden wurde wäre sinnfrei.

Lieben Dank für das Willkommen Arne!
Leider ist der "Doctor" immer noch/schon wieder auf meinem PC drauf. Ich habe gestern etwa sechsmal rkill.com den CCleaner und Malwarebytes Anti-Malware drüberlaufen lassen. Bei dem Neustart nach der Durchführung von Malwarebytes Anti-Malware ist er erstmal verschwunden aber wenn ich den PC dann später selbst hochfahre, ist der "Doctor" jedesmal wieder da. Hier der letzte Report von Malwarebytes Anti-Malware. Ich hoffe, jemand hier kann mir daraufhin weiterhelfen! Schon vorab vielen Dank!!!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4076

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.05.2010 23:08:30
mbam-log-2010-05-07 (23-08-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 196569
Laufzeit: 48 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Kolly\Anwendungsdaten\3FC68E2CB189456AC6632FF4A1B23D20\hookdll.dll (Rogue.AntimalwareDoctor) -> Delete on reboot.

Nachtrag: Habe jetzt mal folgenden Link ausprobiert, den ich hier im Forum gefunden habe: hxxp://net-studio.org/fra/patch/patch/243.html?task=view

Vorerst ist der "Doctor" wohl verschwunden, aber ich traue dem Frieden nicht so ganz, bin also für weitere Tipps dankbar, wie ich weiter verfahren soll, falls er sich wieder auf dem PC einnistet! Denn ein erneuter Scan (Quick-Scan) mit Malwarebytes Anti-Malware zeigte folgendes Resultat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4080

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.05.2010 13:00:43
mbam-log-2010-05-10 (13-00-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 109396
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Frage: Muss ich jetzt weitere Maßnahmen ergreifen und wenn ja, welche?

Ja, mach bitte Logs mit OTL.exe und poste sie

Vielen Danke Arne...Ich hoffe, ich bin richtig vorgegangen.
Hier der Report der beim Scan mit otl.exe entstanden ist:

OTL logfile created on: 10.05.2010 14:25:21 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Kolly\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,00 Gb Total Space | 7,13 Gb Free Space | 17,81% Space Free | Partition Type: NTFS
Drive D: | 258,09 Gb Total Space | 233,09 Gb Free Space | 90,32% Space Free | Partition Type: NTFS
Drive E: | 672,44 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: XXXXX
Current User Name: XXXX
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

========== Processes (SafeList) ==========

PRC - [2010.05.09 15:40:53 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kolly\Desktop\OTL.exe
PRC - [2010.04.04 07:42:51 | 000,036,272 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe Reader\Reader\reader_sl.exe
PRC - [2010.02.26 01:21:50 | 000,126,392 | R--- | M] (Symantec Corporation) -- C:\Programme\Norton AntiVirus\Engine\17.6.0.32\ccsvchst.exe
PRC - [2009.11.16 14:55:46 | 000,039,408 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2009.08.19 11:32:24 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2009.08.19 11:32:20 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2009.03.28 23:11:38 | 003,325,952 | ---- | M] (Electronic Arts) -- C:\Programme\Electronic Arts\EADM\Core.exe
PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.06.27 17:21:14 | 001,449,984 | ---- | M] (Time Information Services Ltd.) -- C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
PRC - [2006.06.15 13:36:18 | 000,229,376 | ---- | M] (Nokia) -- C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
PRC - [2006.06.09 11:37:18 | 000,471,552 | ---- | M] (Nokia Corporation) -- C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
PRC - [2006.06.05 14:59:18 | 000,174,080 | ---- | M] (Nokia.) -- C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

========== Modules (SafeList) ==========

MOD - [2010.05.09 15:40:53 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kolly\Desktop\OTL.exe
MOD - [2008.04.14 14:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx

========== Win32 Services (SafeList) ==========

SRV - [2010.02.26 01:21:50 | 000,126,392 | R--- | M] (Symantec Corporation) [Unknown | Running] -- C:\Programme\Norton AntiVirus\Engine\17.6.0.32\ccSvcHst.exe -- (NAV)
SRV - [2006.06.05 14:59:18 | 000,174,080 | ---- | M] (Nokia.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- (ServiceLayer)

========== Driver Services (SafeList) ==========

DRV - [2010.04.29 19:44:04 | 000,537,136 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20100429.001\BHDrvx86.sys -- (BHDrvx86)
DRV - [2010.02.27 04:23:54 | 000,116,784 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1106000.020\Ironx86.SYS -- (SymIRON)
DRV - [2010.02.27 04:23:21 | 000,325,680 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\System32\Drivers\NAV\1106000.020\SRTSP.SYS -- (SRTSP)
DRV - [2010.02.27 04:23:21 | 000,043,696 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1106000.020\SRTSPX.SYS -- (SRTSPX) Symantec Real Time Storage Protection (PEL)
DRV - [2010.02.26 01:22:57 | 000,501,888 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1106000.020\ccHPx86.sys -- (ccHP)
DRV - [2010.02.04 19:14:37 | 001,324,720 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100509.019\NAVEX15.SYS -- (NAVEX15)
DRV - [2010.02.04 19:14:37 | 000,084,912 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100509.019\NAVENG.SYS -- (NAVENG)
DRV - [2010.02.04 03:40:52 | 000,362,032 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\NAV\1106000.020\SYMTDI.SYS -- (SYMTDI)
DRV - [2010.02.04 03:40:50 | 000,172,592 | ---- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\NAV\1106000.020\SYMEFA.SYS -- (SymEFA)
DRV - [2009.12.31 11:15:29 | 000,124,976 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2009.11.06 00:06:13 | 000,328,752 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\NAV\1106000.020\SYMDS.SYS -- (SymDS)
DRV - [2009.10.29 00:37:22 | 000,329,592 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20100505.001\IDSXpx86.sys -- (IDSxpx86)
DRV - [2009.08.29 11:00:00 | 000,371,248 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2009.08.29 11:00:00 | 000,102,448 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2008.04.14 14:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.02.26 07:51:43 | 002,863,616 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.12.05 11:30:36 | 004,632,576 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.11.20 13:09:22 | 000,104,320 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006.05.29 09:26:38 | 000,127,488 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcd.sys -- (Nokia USB Phone Parent)
DRV - [2006.05.29 09:26:36 | 000,013,312 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdcj.sys -- (Nokia USB Port)
DRV - [2006.05.29 09:26:36 | 000,013,312 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdcm.sys -- (Nokia USB Modem)
DRV - [2006.05.29 09:26:36 | 000,008,704 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdc.sys -- (Nokia USB Generic)
DRV - [2001.08.17 14:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\ [2010.04.27 10:02:58 | 000,000,000 | ---D | M]

O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\17.6.0.32\ipsbho.dll (Symantec Corporation)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe Reader\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe (Nokia)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKCU..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe (Electronic Arts)
O4 - HKCU..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe (Time Information Services Ltd.)
O4 - HKCU..\Run: [Steam] C:\Programme\Steam\Steam.exe (Valve Corporation)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Kolly\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogOff = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetFolders = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 0
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-29-0.cab (EPUImageControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Kolly\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Kolly\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.08.22 13:31:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.10.24 01:56:12 | 000,000,000 | R--D | M] - E:\AutoRun -- [ UDF ]
O32 - AutoRun File - [2008.10.24 01:58:06 | 000,703,552 | R--- | M] (Electronic Arts Inc.) - E:\AutoRun.exe -- [ UDF ]
O32 - AutoRun File - [2008.10.24 01:58:07 | 000,662,592 | R--- | M] (Electronic Arts Inc.) - E:\AutoRunGUI.dll -- [ UDF ]
O32 - AutoRun File - [2008.10.24 01:57:48 | 000,000,166 | R--- | M] () - E:\autorun.inf -- [ UDF ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.05.09 20:42:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Kolly\Recent
[2010.05.09 18:31:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Google
[2010.05.09 15:40:50 | 000,570,880 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kolly\Desktop\OTL.exe
[2010.05.09 15:37:32 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.05.09 15:37:32 | 000,000,000 | ---D | C] -- C:\rsit
[2010.05.08 22:34:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kolly\Desktop\sexy dresses
[2010.05.08 16:52:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kolly\Desktop\Kuchen Muttertag 2010
[2010.05.07 20:24:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kolly\Anwendungsdaten\Malwarebytes
[2010.05.07 20:24:47 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.05.07 20:24:46 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.05.07 20:24:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.05.07 20:20:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
[2010.05.07 20:20:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kolly\Anwendungsdaten\Yahoo!
[2010.05.07 20:20:41 | 000,000,000 | ---D | C] -- C:\Programme\Yahoo!
[2010.05.07 19:43:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.05.07 19:11:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.05.07 19:11:27 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.05.07 19:11:08 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.05.07 19:10:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.05.07 18:54:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kolly\Anwendungsdaten\3FC68E2CB189456AC6632FF4A1B23D20
[2010.05.07 18:47:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.05.06 08:32:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kolly\Eigene Dateien\Downloads
[2010.04.27 23:54:49 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.05.10 14:22:19 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.05.10 14:22:15 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.10 14:22:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.10 14:11:02 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\Kolly\NTUSER.DAT
[2010.05.10 14:11:02 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Kolly\ntuser.ini
[2010.05.10 13:54:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.05.09 22:53:48 | 000,036,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Kolly\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.05.09 18:31:44 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.05.09 15:40:53 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kolly\Desktop\OTL.exe
[2010.05.09 15:36:53 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Kolly\Desktop\RSIT.exe
[2010.05.07 20:42:04 | 000,013,728 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.07 20:31:53 | 000,000,556 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.07 20:20:39 | 000,000,632 | ---- | M] () -- C:\Dokumente und Einstellungen\Kolly\Desktop\CCleaner.lnk
[2010.05.07 18:55:09 | 000,050,990 | ---- | M] () -- C:\WINDOWS\System32\ofjyrnmguvnt.exe
[2010.05.06 09:26:33 | 000,009,888 | ---- | M] () -- C:\Dokumente und Einstellungen\Kolly\Eigene Dateien\Unbenannt 1.odt
[2010.05.01 19:56:53 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.05.01 19:56:31 | 000,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.05.09 18:31:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.05.09 15:36:50 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\Kolly\Desktop\RSIT.exe
[2010.05.08 22:39:34 | 013,134,350 | ---- | C] () -- C:\Dokumente und Einstellungen\Kolly\Desktop\Yellow_Bird.wmv
[2010.05.07 20:24:50 | 000,000,556 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.07 20:20:39 | 000,000,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Kolly\Desktop\CCleaner.lnk
[2010.05.07 18:55:09 | 000,050,990 | ---- | C] () -- C:\WINDOWS\System32\ofjyrnmguvnt.exe
[2010.05.06 09:26:32 | 000,009,888 | ---- | C] () -- C:\Dokumente und Einstellungen\Kolly\Eigene Dateien\Unbenannt 1.odt
[2010.05.01 19:56:52 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.05.01 19:56:31 | 000,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2009.11.03 01:34:28 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.11.03 01:34:27 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2009.11.03 01:34:26 | 000,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.11.03 01:34:26 | 000,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.11.03 01:34:25 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.11.03 01:34:25 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2005.12.07 13:31:00 | 000,202,752 | R--- | C] () -- C:\WINDOWS\System32\CddbCdda.dll
< End of report >

Lieben Dank für die Weiterhilfe!!!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Code:

:Files

C:\Dokumente und Einstellungen\Kolly\Anwendungsdaten\3FC68E2CB189456AC6632FF4A1B23D20

C:\WINDOWS\System32\ofjyrnmguvnt.exe

c:\windows\tasks\at*.job

c:\windows\tasks\*.exe

c:\windows\*.tmp

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Erledigt! Hier der Report:

All processes killed
========== FILES ==========
C:\Dokumente und Einstellungen\Kolly\Anwendungsdaten\3FC68E2CB189456AC6632FF4A1B23D20 folder moved successfully.
C:\WINDOWS\System32\ofjyrnmguvnt.exe moved successfully.
File\Folder c:\windows\tasks\at*.job not found.
File\Folder c:\windows\tasks\*.exe not found.
c:\windows\SET3.tmp moved successfully.
c:\windows\SET4.tmp moved successfully.
c:\windows\SET8.tmp moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Kolly
->Temp folder emptied: 142425462 bytes
->Temporary Internet Files folder emptied: 7301219 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1376 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49554 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4084676 bytes
->Flash cache emptied: 1689 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 661054 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 147,00 mb

OTL by OldTimer - Version 3.2.4.1 log created on 05102010_144222

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_5a0.dat not found!

Registry entries deleted on Reboot...

Gruß, Anja:)

Ok. pack den Ordner C:\_OTL bitte mal in eine ZIP Datei und lad diese dann bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Zitat:

Zitat von cosinus (Beitrag 524390)

Ok. pack den Ordner C:\_OTL bitte mal in eine ZIP Datei und lad diese dann bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Hallo Arne!

Kann ich den Ordner auch als rar-Datei packen? Habe mehrfach versucht, zip runterzuladen und dennoch packt es mir den Ordner immer nur als winrar-Datei. Gibt es da auch eine Möglichkeit, so weiter zu verfahren?

Liebe Grüße, Anja

RAR oder ZIP ist egal

Zitat:

Zitat von cosinus (Beitrag 524555)

RAR oder ZIP ist egal

Danke! Habe den Ordner hochgeladen...hoffe, habe alles richtig gemacht, habe wenig Ahnung vom PC....:balla:

Ok, Datei ist da. Mach bitte mit CF weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Vielen Dank Arne!
Habe alles gemacht, wie Du gesagt hast!

Hier das Ergebnis:

ComboFix 10-05-10.02 - Kolly 10.05.2010 22:09:48.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1791.1428 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kolly\Desktop\cofi.exe
AV: Norton AntiVirus Kompakt *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-04-10 bis 2010-05-10 ))))))))))))))))))))))))))))))
.

2010-05-10 16:04 . 2010-05-10 16:04 -------- d-----w- c:\programme\7-Zip
2010-05-10 12:42 . 2010-05-10 12:42 -------- d-----w- C:\_OTL
2010-05-09 16:32 . 2010-05-09 16:32 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-05-09 16:31 . 2010-05-09 16:31 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-09 13:37 . 2010-05-09 13:38 -------- d-----w- c:\programme\trend micro
2010-05-09 13:37 . 2010-05-09 13:37 -------- d-----w- C:\rsit
2010-05-07 18:24 . 2010-05-07 18:24 -------- d-----w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Malwarebytes
2010-05-07 18:24 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-07 18:24 . 2010-05-07 18:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-07 18:24 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-07 18:20 . 2010-05-07 18:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2010-05-07 18:20 . 2010-05-07 18:20 -------- d-----w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Yahoo!
2010-05-07 18:20 . 2010-05-07 18:20 -------- d-----w- c:\programme\Yahoo!
2010-05-07 17:11 . 2010-05-07 17:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-05-07 17:11 . 2010-05-07 17:11 503808 ----a-w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1ff0eb7e-n\msvcp71.dll
2010-05-07 17:11 . 2010-05-07 17:11 499712 ----a-w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1ff0eb7e-n\jmc.dll
2010-05-07 17:11 . 2010-05-07 17:11 348160 ----a-w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1ff0eb7e-n\msvcr71.dll
2010-05-07 17:11 . 2010-05-07 17:11 61440 ----a-w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-12a8d518-n\decora-sse.dll
2010-05-07 17:11 . 2010-05-07 17:11 12800 ----a-w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-12a8d518-n\decora-d3d.dll
2010-05-07 17:11 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-07 17:09 . 2010-05-07 17:09 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-05-07 16:47 . 2010-05-07 16:47 -------- d-----w- c:\windows\Sun
2010-04-27 21:54 . 2010-04-27 21:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-14 20:16 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-10 16:17 . 2009-08-22 12:01 -------- d-----w- c:\programme\Steam
2010-05-07 11:14 . 2010-01-11 18:53 1 ----a-w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-01 17:56 . 2009-11-16 12:55 -------- d-----w- c:\programme\Google
2010-04-27 21:54 . 2009-11-23 20:36 -------- d-----w- c:\programme\Adobe Reader
2010-04-15 18:09 . 2009-10-27 18:22 -------- d-----w- c:\dokumente und einstellungen\Kolly\Anwendungsdaten\TeamViewer
2010-03-28 21:04 . 2008-04-14 12:00 80108 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 21:04 . 2008-04-14 12:00 448800 ----a-w- c:\windows\system32\perfh007.dat
2010-03-28 11:47 . 2009-08-22 12:20 -------- d-----w- c:\programme\EA GAMES
2010-03-10 06:15 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-27 02:23 . 2010-04-07 07:38 116784 ----a-w- c:\windows\system32\drivers\ironx86.sys
2010-02-27 02:23 . 2010-04-07 07:38 43696 ----a-w- c:\windows\system32\drivers\srtspx.sys
2010-02-25 23:22 . 2010-04-07 07:38 501888 ----a-w- c:\windows\system32\drivers\cchpx86.sys
2010-02-25 06:15 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:04 . 2008-04-14 12:00 2192256 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2008-04-14 07:30 2069120 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-06 07:56 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\Steam\Steam.exe" [2006-03-10 1249280]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-16 39408]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-30 16858624]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-06-15 229376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe Reader\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Kolly\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Kolly\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NAV\1106000.020\symds.sys [07.04.2010 09:38 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1106000.020\symefa.sys [07.04.2010 09:38 172592]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20100429.001\BHDrvx86.sys [29.04.2010 19:44 537136]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1106000.020\cchpx86.sys [07.04.2010 09:38 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NAV\1106000.020\ironx86.sys [07.04.2010 09:38 116784]
R2 NAV;Norton AntiVirus Kompakt;c:\programme\Norton AntiVirus\Engine\17.6.0.32\ccsvchst.exe [07.04.2010 09:37 126392]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01.01.2010 11:32 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20100505.001\IDSXpx86.sys [07.05.2010 23:22 329592]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [02.02.2010 16:38 135664]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-05-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-02 14:38]

2010-05-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-10 22:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NAV]
"ImagePath"="\"c:\programme\Norton AntiVirus\Engine\17.6.0.32\ccSvcHst.exe\" /s \"NAV\" /m \"c:\programme\Norton AntiVirus\Engine\17.6.0.32\diMaster.dll\" /prefetch:1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-05-10 22:13:56
ComboFix-quarantined-files.txt 2010-05-10 20:13

Vor Suchlauf: 7.775.907.840 Bytes frei
Nach Suchlauf: 7.757.094.912 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - B85DB2DFE3CCCAD332035DFEC4273569

Hochachtung vor Dir, denn ich versteh da wenig bis gar nichts von dem, was da steht!

Gruß, Anja:daumenhoc

CF hat was wichtiges repariert.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo..hier schon mal der Log von Malwarebytes-Antimalware. Immer noch zwei infizierte Objekte....seufz! Der ander Log kommt im nächsten Post!
Liebe Grüße, Anja!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4090

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.05.2010 18:21:49
mbam-log-2010-05-11 (18-21-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 196361
Laufzeit: 45 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\_OTL\MovedFiles\05102010_144222\C_Dokumente und Einstellungen\Kolly\Anwendungsdaten\3FC68E2CB189456AC6632FF4A1B23D20\hookdll.dll (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
D:\Programme\_OTL\MovedFiles\05102010_144222\C_Dokumente und Einstellungen\Kolly\Anwendungsdaten\3FC68E2CB189456AC6632FF4A1B23D20\hookdll.dll (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Die Funde kannst Du vernachlässigen, denn das sind die Objekte die wir bereits entfernt haben. OTL hat die nur in seinen Quarantäneordner verschoben und genau das hat MBAM gefunden.

Zitat:

Zitat von cosinus (Beitrag 524863)

Die Funde kannst Du vernachlässigen, denn das sind die Objekte die wir bereits entfernt haben. OTL hat die nur in seinen Quarantäneordner verschoben und genau das hat MBAM gefunden.

Das klingt doch schonmal gut...hier der Bericht von SUPERAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/11/2010 at 07:41 PM

Application Version : 4.36.1006

Core Rules Database Version : 4918
Trace Rules Database Version: 2730

Scan type : Complete Scan
Total Scan Time : 00:56:06

Memory items scanned : 639
Memory threats detected : 0
Registry items scanned : 4060
Registry threats detected : 0
File items scanned : 91554
File threats detected : 10

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kolly\Cookies\kolly@atdmt[1].txt
C:\Dokumente und Einstellungen\Kolly\Cookies\kolly@adx.chip[2].txt
C:\Dokumente und Einstellungen\Kolly\Cookies\kolly@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Kolly\Cookies\kolly@apmebf[2].txt
C:\Dokumente und Einstellungen\Kolly\Cookies\kolly@doubleclick[3].txt
C:\Dokumente und Einstellungen\Kolly\Cookies\kolly@mediaplex[2].txt

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{008BF53E-34BE-40B5-9792-FF12FE1A0FE9}\RP93\A0014856.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{008BF53E-34BE-40B5-9792-FF12FE1A0FE9}\RP94\A0015122.DLL
D:\SYSTEM VOLUME INFORMATION\_RESTORE{008BF53E-34BE-40B5-9792-FF12FE1A0FE9}\RP94\A0015123.DLL

Trojan.Unclassified/Dropper-IExplorer
D:\PROGRAMME\IEXPLORER.EXE

Lieben Gruß, Anja...ach ja, muss ich den Quarantäne-Ordner von OTL noch löschen oder soll ich da nichts machen????

Zitat:

Trojan.Unclassified/Dropper-IExplorer
D:\PROGRAMME\IEXPLORER.EXE

Uiii, der ist mir durche Lappen gegangen :balla:
Sei noch mal so lieb und mach Logs mit GMER und OSAM

Zitat:

muss ich den Quarantäne-Ordner von OTL noch löschen oder soll ich da nichts machen????

Du weißt was eine Quarantäne ist? Ob Du den löscht oder nicht, hat im grunde keine Auswirkung, da die Schädlinge da inaktiv rumliegen und nichts ausrichten können - es sei Du Du startest darin liegende *.exe Dateien wieder manuell :D

Lieben Dank Arne für die Info!:daumenhoc

Hier schonmal der erste Bericht von dem Scan mit GMER:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-11 21:33:35
Windows 5.1.2600 Service Pack 3
Running: f79ek4do.exe; Driver: C:\DOKUME~1\Kolly\LOKALE~1\Temp\aftcqfog.sys

---- System - GMER 1.0.15 ----

SSDT 89725278 ZwAlertResumeThread
SSDT 8972B460 ZwAlertThread
SSDT 89931A88 ZwAllocateVirtualMemory
SSDT 8970B0B0 ZwAssignProcessToJobObject
SSDT 89708D30 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA686B210]
SSDT 8942B3A8 ZwCreateMutant
SSDT 893EEEB0 ZwCreateSymbolicLinkObject
SSDT 89A15720 ZwCreateThread
SSDT 8970B0E8 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA686B490]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA686B9F0]
SSDT 896EC130 ZwDuplicateObject
SSDT 89950DE0 ZwFreeVirtualMemory
SSDT 8971A108 ZwImpersonateAnonymousToken
SSDT 89724108 ZwImpersonateThread
SSDT 896DB140 ZwLoadDriver
SSDT 89903240 ZwMapViewOfSection
SSDT 897190B8 ZwOpenEvent
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwOpenKey [0xA686B7A0]
SSDT 896F1AA0 ZwOpenProcess
SSDT 89737BC8 ZwOpenProcessToken
SSDT 897101A8 ZwOpenSection
SSDT 896F0E80 ZwOpenThread
SSDT 89802C50 ZwProtectVirtualMemory
SSDT 89730240 ZwResumeThread
SSDT 89730B08 ZwSetContextThread
SSDT 89927080 ZwSetInformationProcess
SSDT 8970C850 ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA686BC40]
SSDT 897170D0 ZwSuspendProcess
SSDT 89730318 ZwSuspendThread
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA675A900]
SSDT 89730A30 ZwTerminateThread
SSDT 89733CB0 ZwUnmapViewOfSection
SSDT 8993BEB8 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2450 80501C88 4 Bytes CALL 8CD98D3D
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB7104000, 0x187662, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[3788] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0211003A

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.15 ----

Liebe Grüße, Anja

So, hier noch der Bericht von OSAM...da war ich mir jetzt unsicher, hoffe, das ist, was Du brauchst, um mir weiterhelfen zu können Arne?

Lieben Gruß, Anja

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:57:39 on 11.05.2010
OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
|||| "GoogleUpdateTaskMachineUA.job" "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\infocardcpl.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "NokiaConnectionManager" "Nokia" C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
"aftcqfog" (aftcqfog) C:\DOKUME~1\Kolly\LOKALE~1\Temp\aftcqfog.sys Hidden registry entry, rootkit activity | File not found
|||||| "BHDrvx86" (BHDrvx86) "Symantec Corporation" C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20100429.001\BHDrvx86.sys File exists
"catchme" (catchme) C:\DOKUME~1\Kolly\LOKALE~1\Temp\catchme.sys File not found
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
|||||| "EraserUtilRebootDrv" (EraserUtilRebootDrv) "Symantec Corporation" C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys File exists
"FXDrv32" (FXDrv32) E:\FXDrv32.sys File not found
"i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found
|||||| "IDSxpx86" (IDSxpx86) "Symantec Corporation" C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20100505.001\IDSxpx86.sys File exists
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
|||||| "NAVENG" (NAVENG) "Symantec Corporation" C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100511.003\NAVENG.SYS File exists
|||||| "NAVEX15" (NAVEX15) "Symantec Corporation" C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100511.003\NAVEX15.SYS File exists
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
|||||| "SASDIFSV" (SASDIFSV) "SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS File exists
|||||| "SASKUTIL" (SASKUTIL) "SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS File exists
|||||| "Symantec Data Store" (SymDS) "Symantec Corporation" C:\WINDOWS\System32\drivers\NAV\1106000.020\SYMDS.SYS File exists
|||||| "Symantec Eraser Control driver" (eeCtrl) "Symantec Corporation" C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys File exists
|||||| "Symantec Extended File Attributes" (SymEFA) "Symantec Corporation" C:\WINDOWS\System32\drivers\NAV\1106000.020\SYMEFA.SYS File exists
|||||| "Symantec Hash Provider" (ccHP) "Symantec Corporation" C:\WINDOWS\system32\drivers\NAV\1106000.020\ccHPx86.sys File exists
|||||| "Symantec Iron Driver" (SymIRON) "Symantec Corporation" C:\WINDOWS\system32\drivers\NAV\1106000.020\Ironx86.SYS File exists
|||||| "Symantec Network Dispatch Driver" (SYMTDI) "Symantec Corporation" C:\WINDOWS\System32\Drivers\NAV\1106000.020\SYMTDI.SYS File exists
|||||| "Symantec Real Time Storage Protection" (SRTSP) "Symantec Corporation" C:\WINDOWS\System32\Drivers\NAV\1106000.020\SRTSP.SYS File exists
|||||| "Symantec Real Time Storage Protection (PEL)" (SRTSPX) "Symantec Corporation" C:\WINDOWS\system32\drivers\NAV\1106000.020\SRTSPX.SYS File exists
|||||| "SymEvent" (SymEvent) "Symantec Corporation" C:\WINDOWS\system32\Drivers\SYMEVENT.SYS File exists
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
|||||| {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" "SuperAdBlocker.com" C:\Programme\SUPERAntiSpyware\SASSEH.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" "Nokia" C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
|||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
|||||| {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll File exists
|||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" "Alexander Roshal" C:\Programme\WinRAR\rarext.dll File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
|||| "Google Toolbar" "Google Inc." C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll File exists
ITBar7Height "ITBar7Height" File not found | COM-object registry key not found
"ITBar7Layout" File not found | COM-object registry key not found
"ITBarLayout" File not found | COM-object registry key not found
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
|||| {EF99BD32-C1FB-11D2-892F-0090271D4F88} "Yahoo! Toolbar" "Yahoo! Inc." C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll File exists
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|| {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} "EPUImageControl Class"
hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-29-0.cab "eBay, Inc." C:\WINDOWS\Downloaded Program Files\EPUWALcontrol.dll File exists
|||||| {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object"
hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab "Adobe Systems, Inc." C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx File exists
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}"
hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
|||| "Google Toolbar" "Google Inc." C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll File exists
|||| "Yahoo! Toolbar" "Yahoo! Inc." C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||| {02478D38-C3F9-4efb-9B51-7695ECA05670} "&Yahoo! Toolbar Helper" "Yahoo! Inc." C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll File exists
|||||| {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" "Adobe Systems Incorporated" C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll File exists
|||| {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" "Google Inc." C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll File exists
|||| {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" "Google Inc." C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll File exists
|||| {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} "SingleInstance Class" "Yahoo! Inc" C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll File exists
|||||| {6D53EC84-6AAE-4787-AEEE-F4628F01010C} "Symantec Intrusion Prevention" "Symantec Corporation" C:\Programme\Norton AntiVirus\Engine\17.6.0.32\IPSBHO.DLL File exists
{DBC80044-A445-435b-BC74-9C25C1C588A9} "{DBC80044-A445-435b-BC74-9C25C1C588A9}" File not found | COM-object registry key not found
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\Kolly\Startmenü\Programme\Autostart\desktop.ini File exists
|||| "OpenOffice.org 3.1.lnk" C:\Programme\OpenOffice.org 3\program\quickstart.exe Shortcut exists | File found, but it contains no detailed information | File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
|||| "EA Core" "Electronic Arts" "C:\Programme\Electronic Arts\EADM\Core.exe" -silent File exists
|||| "PcSync" "Time Information Services Ltd." C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog File exists
|||| "Steam" "Valve Corporation" "C:\Programme\Steam\Steam.exe" -silent File exists
"SUPERAntiSpyware" "SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe File exists
|||| "swg" "Google Inc." "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||| "Adobe ARM" "Adobe Systems Incorporated" "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" File exists
|||| "Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Programme\Adobe Reader\Reader\Reader_sl.exe" File exists
|||| "PCSuiteTrayApplication" "Nokia" C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup File exists
|||| "StartCCC" "Advanced Micro Devices, Inc." "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
"Anwendungsverwaltung" (AppMgmt) C:\WINDOWS\System32\appmgmts.dll File not found
|||||| "ASP.NET State Service" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "ATI Smart" (ATI Smart) C:\WINDOWS\system32\ati2sgag.exe File exists
|||| "Google Software Updater" (gusvc) "Google" C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe File exists
|||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
|||||| "Norton AntiVirus Kompakt" (NAV) "Symantec Corporation" C:\Programme\Norton AntiVirus\Engine\17.6.0.32\ccSvcHst.exe File exists
|||||| "ServiceLayer" (ServiceLayer) "Nokia." C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe File exists
|||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists
|||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" appmgmts.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
|||||| "!SASWinLogon" "SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASWINLO.dll File exists

Logs sind ok. Rechner wieder normal?

Ja, alles läuft wieder ganz normal! Vielen vielen herzlichen Dank für Deine Hilfe!!!! Ich hätte das nie mehr hinbekommen allein und sah mich schon einen neuen Rechner kaufen oder neu aufsetzen müssen..Horror!!!:balla:
Ich werde Euch weiterempfehlen!
Ach ja, muss ich diese Superantispyware oder irgendein anderes downgeloadetes Programm wieder runterschmeißen?
Ich habe ja wie gesagt Norton auf dem Rechner. Kannst Du mir vielleicht zusätzlich was zum Schutz empfehlen, was ich mir auf den Rechner holen sollte??? Das wäre klasse!
So, jetzt aber erst nochmal ein herzliches DANKESCHÖN!!!

Liebe Grüße, Anja:daumenhoc:daumenhoc:daumenhoc

DIe anderen Programme kannst Du deinstallieren, aber an für sich stören die Tools, die wir hier benutzt haben nicht mehr weiter. Norton da schon eher.
AFAIK musst Du Norton regelmäßig bezahlen (abonnieren) damit die Signaturen aktuell gehalten werden können / dürfen - wenn Du reine private Dinge erledigst, dann solltest Du Norton deinstallieren und einen freien Virenscanner wie zB AntiVir PE, AVG Free oder Avast einsetzen.

Zitat:

Kannst Du mir vielleicht zusätzlich was zum Schutz empfehlen, was ich mir auf den Rechner holen sollte??? Das wäre klasse!

Zusätzlicher Schutz über noch mehr Software, die nicht halten kann, was immer versprochen wird ist definitiv der falsche Ansatz!! Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Und hier noch ein Zitat von mmk über Security Suites und seine Empfehlungen, kann ich selbst einfach nicht besser schreiben ;) :

Zitat:

Zitat von mmk

Nur: Hier liegt eine große Diskrepanz zwischen "Versprechen" und der Realität vor. Der Schutzeffekt bleibt vergleichsweise gering (vor allem gegenüber neuen Schädlingen), gleichzeitig steigt die Fehlalarmwahrscheinlichkeit. Was machen wir also?

-> Wir schließen die Lücken im Betriebssystem und in Programmen, deren Vorhandensein durch die Suite kompensiert werden sollte, besser direkt, indem wir möglichst schnell und regelmäßig die jeweiligen Programmaktualisierungen einspielen.

-> Wir reduzieren die Angriffsfläche, indem wir nur die Programme installieren, die wir auch wirklich benötigen, und die benötigte Software partiell restriktiv konfigurieren.

-> Wir verzichten auf die Installation von Software aus bekanntermaßen unseriösen Quellen und verifizieren die aus seriösen Quellen geladenen Dateien mittels Checksummen.

-> Wir arbeiten stets mit Benutzerrechten und starken Passwörtern anstatt mit einem Admin-Account.

-> Wir surfen mit dem gesunden Menschenverstand und führen weder zugesandte Dateien ohne Bedenken aus noch klicken wir auf Links in Messenger-Nachrichten und Mails, die etwas Lukratives, Sensationelles, Erschreckendes, Ekelhaftes, Erotisierendes oder sonstiges Verlockendes versprechen.

-> Wir führen solche Dateien selbst dann nicht aus, wenn der installierte Virenscanner melden sollte, die Datei sei sauber.

-> Wir konfigurieren einen Virenscanner, für den wir uns möglicherweise entschieden haben so, dass Dateien nicht sofort gelöscht, sondern erst in Quarantäne verschoben werden und weisen die Reportkomponente des Scanners an, alle Funde vollständig zu protokollieren.

-> Wir kaufen uns, wenn wir denn Geld ausgeben möchten, ein Image-Programm, mit dem wir bei Ersteinrichtung des Systems sowie in der Folge regelmäßig Systemsicherungs-Images oder Datenbackups erstellen, die wir dann auf externen Datenträgern speichern.

-> Wir speichern besonders wichtige Dateien stets dreifach: Auf dem Produktivsystem, z.B. auf einer externen Festplatte und zusätzlich auf einer DVD, ggf. truecrypt-verschlüsselt, und evtl. an verschiedenen Orten.

-> Wir erstellen uns eine oder mehrere Notfallstart-CDs (z.B. UBCD4WIN, BartPE, Ubuntu Live, Knoppix,...), die wir für Problemfälle als As im Ärmel behalten, z.B. zum nachträglichen Datensichern, zur Recherche im Web, zum Ersetzen oder Löschen von Dateien, etc..

-> Wir entscheiden uns auch aus diesem Grunde für einen Router, dessen Konfigurationsoberfläche wir übrigens unmittelbar nach dem Kauf mit einem starken Passwort versehen, weil man dann ganz prima über solche Notfall-CDs ins Web gehen kann.

-> Wir verschlüsseln eine etwaige WLAN-Verbindung mit WPA2 und vergeben ein 63-stelliges Passwort.

-> Wir erstellen uns starke Passwörter z.B. nach diesem Muster (siehe Beispielpasswörter), und speichern wichtige nicht auf dem PC.

-> Wir halten uns über aktuelle Entwicklungen zumindest grundlegend auf dem Laufenden und erkundigen uns ggf. bei entsprechenden Stellen, falls wir Fragen haben.

-> Wir aktualisieren im Zuge dessen auch die Firmware des Routers, falls dies notwendig sein sollte.

-> Wir sind uns darüber im Klaren, dass Wechseldatenträger wie USB-Sticks, aber auch externe USB-Festplatten, MP3-Player, Speicherkarten und Ähnliches potentielle Träger von "Autorun-Würmern" sind und daher niemals unter einem Adminkonto eingesteckt werden sollten, vor allem dann nicht, wenn sie zuvor "auswärts" im Einsatz waren, weshalb wir auch im Zweifel auf die Option zurückgreifen, einen solchen Stick zunächst über ein Bootmedium auf das Vorhandensein einer Datei namens "autorun.inf" im Stick-Wurzelverzeichnis hin zu untersuchen, um bei einem solchen Fund alarmiert zu sein.

-> Wir verwenden für den auswärtigen Einsatz alternativ SD-Speicherkarten in USB-Adaptern, da die Speicherkarten im Gegensatz zu den meisten USB-Sticks über eine von Hand an der Karte aktivierbare Schreibschutzmöglichkeit verfügen.

-> Wir machen all dies, weil wir wissen, dass die daraus resultierenden Effekte von einer Security-Suite niemals geleistet werden könnten, weil wir wissen, dass die Suites die Fehleranfälligkeit erhöhen, das System stärker auslasten und zudem auch noch Geld kosten, das wir sinniger Weise an anderer Stelle investieren (z.B. in Image-Software, Backupmedien, Router, Zusatz-CDs, ein zweites CD-DVD-Brennlaufwerk, usw.).

Oder wir lassen dies alles sein, installieren uns eine Security-Suite, fühlen uns sicher, surfen im Netz, schauen uns ukrainische Erotikkanonen an und wundern uns vier Wochen später, weshalb einem die Leute im Sicherheitsforum anhand von DNS-Einträgen weis machen wollen, dass die ukrainischen Schönheiten von vor einen Monat inzwischen mehr über einen wissen als die eigene Frau.

Zitat:

Zitat von cosinus (Beitrag 524997)

Lieber Arne!

Vielen Dank für Deine Ratschläge und Tipps. Werde mir AntiVir runterladen, davon habe ich bis jetzt nur Gutes gehört und Euch in den nächsten Tagen eine kleine Spende als Dankeschön zukommen lassen!
Ich hoffe, das wars erstmal mit Viren, Trojanern und Co...und wenn nicht, weiß ich ja jetzt, wo ich Hilfe bekomme!

Liebe Grüße von Anja:applaus:

Kleiner Nachtrag:
Habe eben mal geschaut...gibt ja etliche Seiten, wo man sich AntiVir PE downloaden kann...Kannst Du mir einen Link zum Download besonders empfehlen????

*Nichtmehrdurchblick* (sorry, ist etwas offtopic, aber wusste nicht wohin mit der Frage)

Gruß, Anja;)

Nimm von chip.de, die sind offziell auch Partner von Avira => AntiVir - Free Antivirus - Download - CHIP Online
Und falls Du doch AVG haben haben willst, nimm den Link, aber bitte nicht AntiVir und AVG gleichzeitig installieren!! AVG Free Antivirus - Download - CHIP Online

Erledigt!:daumenhoc:dankeschoen: