Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE (https://www.trojaner-board.de/88552-compurterdepp-hat-probleme-mscj-exe-iexplore-exe.html)

viperman666 22.07.2010 18:45
"Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE
 
Hallo erstmal! Wie mein Titel schon sagt,bin ich wirklich ein Computerdepp! Ich mache damit: Emails,Ebay,Ebanking ansonsten arbeite ich nicht damit! Deshalb bin ich nun recht aufgeschmissen. Seit 2 Tagen ist mein PC sehr langsam,der Lüfter läuft andauernd an und ab und zu öffnen sich spanische(glaub ich jedenfalls) Pornoseiten (oh man wie peinlich!!!) einfach so! Ich war jedoch noch nie auf dieser oder einer anderen"Schmuddel"-Seite.Wenn ich dann Mozilla schließe um die Seite zu entfernen,komm ich dann nichtmehr in Mozilla rein. Wenn ich den PC dann runterfahren will,kommt immer ein Fenster mit mscj.EXE und anschließend IEXPLORE.EXE muß beendet werden,was ich mit "sofort beenden" dann tue und dann erst fährt der PC runter.Mein Schwager,der sich mit dem PC recht gut auskennt(denke ich ),hat mittels Teamviewer gestern den Sybot drüberlaufen lassen,hat leider nur wenig gebracht!?
Ich bitte um Verzeihung,falls das selbe Problem schon mal behandelt wurde,hab aber nix gefunden!?!?

cosinus 22.07.2010 20:27
Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

viperman666 23.07.2010 19:34
Hallo,
Danke mal vorab für die Hilfe!!!!!

Hier mal der Scan von Malewarebytes:Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4342

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

23.07.2010 20:31:07
mbam-log-2010-07-23 (20-31-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 123958
Laufzeit: 5 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\winapp.winsafe (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\winapp.winsafe.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{16406580-14ce-4441-b904-ad56cc8064ca} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1482476501-884357618-839522115-1003\Dc4.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

Ich hoffe ich hab das richtig gemacht!?!?

Soll ich den OTL -Check auch gleich machen!?

viperman666 23.07.2010 19:48
Hier der Check von OTL:

OTL Logfile:
Code:
OTL logfile created on: 23.07.2010 20:42:04 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 463,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 211,03 Gb Free Space | 90,62% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 232,88 Gb Total Space | 232,51 Gb Free Space | 99,84% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: DANIEL
Current User Name: Sebastian
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.07.23 20:40:16 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.07.14 15:07:58 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.07.14 15:07:58 | 000,014,808 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\plugin-container.exe
PRC - [2010.07.12 10:55:38 | 001,352,832 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
PRC - [2010.07.12 10:55:38 | 000,864,112 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
PRC - [2010.04.29 12:19:18 | 001,090,952 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2009.08.05 15:02:44 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.09 15:03:36 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2006.12.28 01:02:00 | 001,454,080 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2006.12.28 01:02:00 | 000,356,352 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2005.06.18 08:01:42 | 000,016,384 | ---- | M] (Creative Technology Ltd) -- C:\WINDOWS\CTHELPER.EXE
PRC - [2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.07.23 20:40:16 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads\OTL.exe
MOD - [2005.06.18 08:01:40 | 000,007,168 | ---- | M] (Creative Technology Ltd) -- C:\WINDOWS\system32\CTAGENT.DLL
MOD - [2004.08.04 00:54:28 | 001,050,624 | R--- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
MOD - [2004.08.03 23:01:18 | 000,102,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\hasplms.exe -- (hasplms)
SRV - [2010.07.12 10:55:38 | 001,352,832 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2009.08.05 15:02:44 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.06.09 15:03:36 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2008.02.19 20:48:46 | 000,306,432 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\WINDOWS\system32\TuneUpDefragService.exe -- (TuneUp.Defrag)
SRV - [2007.12.20 11:41:56 | 000,029,440 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2006.12.28 01:02:00 | 000,356,352 | R--- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.07.12 10:55:39 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2009.12.08 17:37:46 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.06.09 15:03:36 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.28 16:36:13 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.03.27 19:50:00 | 000,350,720 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\aksfridge.sys -- (aksfridge)
DRV - [2008.02.11 17:55:04 | 000,586,240 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006.12.28 01:02:00 | 000,265,088 | R--- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2006.12.28 01:02:00 | 000,004,352 | R--- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2006.10.22 13:22:00 | 003,994,624 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2005.06.18 07:53:28 | 000,438,784 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctaud2k.sys -- (ctaud2k) Creative Audio Driver (WDM)
DRV - [2005.06.18 07:53:28 | 000,007,168 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctprxy2k.sys -- (ctprxy2k)
DRV - [2005.06.18 07:53:16 | 000,751,104 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ha10kx2k.sys -- (ha10kx2k)
DRV - [2005.06.18 07:53:16 | 000,178,688 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\haP17v2k.sys -- (hap17v2k)
DRV - [2005.06.18 07:53:16 | 000,153,088 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\haP16v2k.sys -- (hap16v2k)
DRV - [2005.06.18 07:53:14 | 000,114,688 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctoss2k.sys -- (ossrv)
DRV - [2005.06.18 07:53:08 | 000,142,336 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctsfm2k.sys -- (ctsfm2k)
DRV - [2005.06.18 07:53:08 | 000,077,824 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emupia2k.sys -- (emupia)
DRV - [2005.06.18 07:53:04 | 000,501,760 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctac32k.sys -- (ctac32k)
DRV - [2005.06.07 15:00:16 | 000,340,176 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ctdvda2k.sys -- (ctdvda2k)
DRV - [2004.08.03 22:59:52 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2004.04.26 16:31:14 | 000,135,168 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Hdaudbus.sys -- (HDAudBus)
DRV - [2004.03.17 17:10:40 | 000,113,664 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2003.05.20 17:19:00 | 000,073,344 | ---- | M] (Promise Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ulsata.sys -- (UlSata)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.22 20:57:06 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.22 20:55:41 | 000,000,000 | ---D | M]
 
[2010.07.22 20:57:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 20:57:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\extensions
[2010.07.22 20:55:41 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.14 00:04:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.14 00:04:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.14 00:04:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.14 00:04:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.14 00:04:04 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.21 23:35:31 | 000,414,778 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.0scan.com
O1 - Hosts: 127.0.0.1        0scan.com
O1 - Hosts: 127.0.0.1        1000gratisproben.com
O1 - Hosts: 127.0.0.1        www.1000gratisproben.com
O1 - Hosts: 127.0.0.1        1001namen.com
O1 - Hosts: 127.0.0.1        www.1001namen.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        www.1-2005-search.com
O1 - Hosts: 127.0.0.1        1-2005-search.com
O1 - Hosts: 14321 more lines...
O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {18344FB9-CFC4-42D3-8646-BD31341FC8CF} - No CLSID value found.
O2 - BHO: (no name) - {b6b571fb-b71d-449c-ad70-82e966328795} - No CLSID value found.
O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [CTHelper] C:\WINDOWS\CTHELPER.EXE (Creative Technology Ltd)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [PtiuPbmd] C:\WINDOWS\System32\ptipbm.dll (Promise Technology,Inc.)
O4 - HKCU..\Run: [sysbrowseClient]  File not found
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: cdpcqddtutsahivzkslgTaskMgr = 0
O9 - Extra Button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.01.16 20:16:41 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.02.17 16:31:00 | 000,000,100 | ---- | M] () - G:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\Shell\AutoRun\command - "" = F:\autorun.bat -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.23 20:21:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
[2010.07.23 20:20:36 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.23 20:20:34 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.23 20:20:34 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.23 20:20:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.22 21:23:02 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.07.22 21:22:59 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.07.22 21:08:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.07.22 21:07:45 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}
[2010.07.22 21:07:04 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.07.22 21:07:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.07.22 20:56:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla
[2010.07.22 20:53:34 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Sebastian\UserData
[2010.07.21 20:38:15 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.07.21 20:38:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.07.21 20:34:44 | 016,409,960 | ---- | C] (Safer Networking Limited                                    ) -- C:\spybotsd162.exe
[2010.07.21 20:18:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\lowsec
[2010.07.21 20:16:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5
[2010.07.21 19:55:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.07.21 19:39:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\TeamViewer
[2010.07.21 19:01:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Uniblue
[2010.07.21 17:03:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
[2010.07.21 17:03:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\MSA
[2010.07.04 20:51:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Meine Alben
[2005.06.18 08:04:56 | 000,033,792 | R--- | C] ( ) -- C:\WINDOWS\System32\a3d.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.23 20:20:39 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.23 19:36:21 | 000,087,808 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.07.23 19:35:48 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.07.23 19:35:06 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.23 19:34:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.23 15:04:36 | 000,030,600 | ---- | M] () -- C:\WINDOWS\System32\BMXStateBkp-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.23 15:04:36 | 000,030,600 | ---- | M] () -- C:\WINDOWS\System32\BMXState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.23 15:04:36 | 000,029,604 | ---- | M] () -- C:\WINDOWS\System32\BMXCtrlState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.23 15:04:36 | 000,029,604 | ---- | M] () -- C:\WINDOWS\System32\BMXBkpCtrlState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.23 15:04:36 | 000,011,564 | ---- | M] () -- C:\WINDOWS\System32\DVCState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.23 15:04:36 | 000,001,080 | ---- | M] () -- C:\WINDOWS\System32\settingsbkup.sfm
[2010.07.23 15:04:36 | 000,001,080 | ---- | M] () -- C:\WINDOWS\System32\settings.sfm
[2010.07.23 15:04:32 | 008,126,464 | -H-- | M] () -- C:\Dokumente und Einstellungen\Sebastian\NTUSER.DAT
[2010.07.23 15:04:32 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Sebastian\ntuser.ini
[2010.07.23 15:04:27 | 004,958,588 | ---- | M] () -- C:\WINDOWS\{00000003-00000000-00000002-00001102-00000008-10211102}.CDF
[2010.07.23 15:04:27 | 004,958,588 | ---- | M] () -- C:\WINDOWS\{00000003-00000000-00000002-00001102-00000008-10211102}.BAK
[2010.07.22 21:22:59 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.07.22 21:07:44 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.07.22 20:55:45 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.07.22 20:41:50 | 000,000,541 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.22 20:41:50 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.22 20:41:50 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.07.21 23:35:31 | 000,414,778 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.21 21:38:13 | 000,000,255 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.07.21 20:34:55 | 016,409,960 | ---- | M] (Safer Networking Limited                                    ) -- C:\spybotsd162.exe
[2010.07.21 19:25:44 | 002,920,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Sebastian\Desktop\TeamViewer_Setup.exe
[2010.07.19 20:08:10 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.12 10:55:39 | 000,064,288 | ---- | M] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.07.12 10:55:38 | 000,015,880 | ---- | M] () -- C:\WINDOWS\System32\lsdelete.exe
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.23 20:20:39 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.22 21:36:12 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.07.22 21:24:09 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.07.22 21:07:44 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.07.22 20:55:45 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.07.21 19:47:27 | 002,920,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Sebastian\Desktop\TeamViewer_Setup.exe
[2007.12.13 19:14:36 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2007.02.01 21:54:26 | 000,046,593 | R--- | C] () -- C:\WINDOWS\System32\e10kxwdm.ini
[2007.02.01 21:54:26 | 000,000,193 | R--- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2007.01.21 15:10:13 | 000,000,255 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2007.01.21 14:30:45 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.01.20 18:28:58 | 000,000,423 | ---- | C] () -- C:\WINDOWS\System32\dext536.ini
[2007.01.16 21:11:14 | 000,000,217 | ---- | C] () -- C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini
[2007.01.16 21:11:12 | 000,000,228 | ---- | C] () -- C:\WINDOWS\HP_ISRegionListUpdatelog_HPSU.ini
[2007.01.16 21:11:10 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_InstantSHareJPG.ini
[2007.01.16 21:11:06 | 000,000,227 | ---- | C] () -- C:\WINDOWS\HP_CounterReport_Update_HPSU.ini
[2007.01.16 19:41:13 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.01.16 19:41:13 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.01.16 19:41:13 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.01.16 19:41:12 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.01.16 19:41:12 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.01.16 19:41:12 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.01.16 19:41:11 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.10.27 17:26:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2006.07.20 22:07:50 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\PhysXLoader.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2005.07.11 06:44:12 | 000,038,400 | ---- | C] () -- C:\WINDOWS\System32\CTBURST.DLL
[2005.06.07 15:10:50 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\CTMMACTL.DLL
[2004.08.04 00:57:22 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2003.03.21 11:56:12 | 000,000,194 | ---- | C] () -- C:\WINDOWS\System32\KILL.INI
< End of report >
--- --- ---
r nun

cosinus 23.07.2010 20:12
Zitat:
Art des Suchlaufs: Quick-Scan
MBAM ist aktuell aber ich wollte einen Vollscan sehen...

viperman666 23.07.2010 21:03
Sorry,war mein Fehler! :headbang:
Hab gerade nebenbei den vollscan gemacht,dabei ist mir dann irgendwann der PC "abgeschmiert".Komplettabstutz,mußte den Stecker ziehen!
Werd morgen nochmals scannen,da ich noch was vor hatte.
Also ich muß muß den vorher den malewarebyte ers aktualisieren,richtig?
Dann nochmals einen vollscan.
Muß ich den von OTL auch nochmals machen!?

Viele Grüße und nochmals Danke!!!!!!!!!!!!!!

viperman666 24.07.2010 09:55
HalliHallo,
so,hab nun nen vollständigen scan gemacht und die Funde in Quarantäne gestellt.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4343

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

24.07.2010 10:47:07
mbam-log-2010-07-24 (10-47-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 184801
Laufzeit: 22 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\winapp.winsafe (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\winapp.winsafe.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{16406580-14ce-4441-b904-ad56cc8064ca} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\MSA\msac (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{D610E63E-0190-4187-A5F2-31B3A8887B1F}\RP322\A0026675.exe (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{D610E63E-0190-4187-A5F2-31B3A8887B1F}\RP322\A0026804.exe (VirTool.Obfuscator) -> No action taken.
C:\System Volume Information\_restore{D610E63E-0190-4187-A5F2-31B3A8887B1F}\RP322\A0026808.dll (Trojan.Xpuse) -> No action taken.
C:\System Volume Information\_restore{D610E63E-0190-4187-A5F2-31B3A8887B1F}\RP323\A0027827.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

cosinus 26.07.2010 14:17
Hast Du alle Funde entfernt?

viperman666 26.07.2010 15:38
Servus Arne,

Nee,die Funde sind noch in Quarantäne,da ich nich wußte ob sie noch relevant hier sind!?
Soll ich löschen!?!? Gruß Daniel

cosinus 26.07.2010 16:00
In Quarantäne ist ok, dann hast Du die ja entfernen lassen. Ich hab nachgefragt, weil im Log "No action taken." steht!

viperman666 26.07.2010 16:13
Nee,sind noch in Quarantäne!Soll ich die löschen?
Ein Problem hab ich aktuell auch,mein Adaware warnt mich des öfteren,daß svchost.exe ein Verbindung zu einer schädlichen Seite aufbauen wollte,was verhindert wurde!????Also irgendwas spukt da auf meiner Rechner noch rum!?

cosinus 26.07.2010 16:20
Wenn die von malwarebytes in Qurantäne geschoben wurden ist das ok!!
Erstell bitte ein neues OTL-Logfile und poste es. Die Extras.txt brauch ich aber nicht nochmal.

viperman666 26.07.2010 16:45
So hier der neue OTL scan.Hoffe ich hab den richtigen gepostet!?
OTL Logfile:
Code:
OTL logfile created on: 26.07.2010 17:37:00 - Run 2
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 579,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 211,18 Gb Free Space | 90,68% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 232,88 Gb Total Space | 232,51 Gb Free Space | 99,84% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: DANIEL
Current User Name: Sebastian
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINDOWS\CTHELPER.EXE (Creative Technology Ltd)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\CTAGENT.DLL (Creative Technology Ltd)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (hasplms) -- C:\WINDOWS\System32\hasplms.exe File not found
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (aksfridge) -- C:\WINDOWS\system32\drivers\aksfridge.sys (Aladdin Knowledge Systems Ltd.)
DRV - (Hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (ctaud2k) Creative Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\ctaud2k.sys (Creative Technology Ltd)
DRV - (ctprxy2k) -- C:\WINDOWS\system32\drivers\ctprxy2k.sys (Creative Technology Ltd)
DRV - (ha10kx2k) -- C:\WINDOWS\system32\drivers\ha10kx2k.sys (Creative Technology Ltd)
DRV - (hap17v2k) -- C:\WINDOWS\system32\drivers\haP17v2k.sys (Creative Technology Ltd)
DRV - (hap16v2k) -- C:\WINDOWS\system32\drivers\haP16v2k.sys (Creative Technology Ltd)
DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)
DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)
DRV - (emupia) -- C:\WINDOWS\system32\drivers\emupia2k.sys (Creative Technology Ltd)
DRV - (ctac32k) -- C:\WINDOWS\system32\drivers\ctac32k.sys (Creative Technology Ltd)
DRV - (ctdvda2k) -- C:\WINDOWS\system32\drivers\ctdvda2k.sys (Creative Technology Ltd)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider)
DRV - (UlSata) -- C:\WINDOWS\system32\DRIVERS\ulsata.sys (Promise Technology, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.25 19:41:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.25 19:41:51 | 000,000,000 | ---D | M]
 
[2010.07.22 20:57:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 20:57:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\extensions
[2010.07.25 17:29:16 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.14 00:04:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.14 00:04:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.14 00:04:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.14 00:04:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.14 00:04:04 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.21 23:35:31 | 000,414,778 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.0scan.com
O1 - Hosts: 127.0.0.1        0scan.com
O1 - Hosts: 127.0.0.1        1000gratisproben.com
O1 - Hosts: 127.0.0.1        www.1000gratisproben.com
O1 - Hosts: 127.0.0.1        1001namen.com
O1 - Hosts: 127.0.0.1        www.1001namen.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        www.1-2005-search.com
O1 - Hosts: 127.0.0.1        1-2005-search.com
O1 - Hosts: 14321 more lines...
O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {18344FB9-CFC4-42D3-8646-BD31341FC8CF} - No CLSID value found.
O2 - BHO: (no name) - {b6b571fb-b71d-449c-ad70-82e966328795} - No CLSID value found.
O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [CTHelper] C:\WINDOWS\CTHELPER.EXE (Creative Technology Ltd)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [PtiuPbmd] C:\WINDOWS\System32\ptipbm.dll (Promise Technology,Inc.)
O4 - HKCU..\Run: [sysbrowseClient]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: cdpcqddtutsahivzkslgTaskMgr = 0
O9 - Extra Button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.01.16 20:16:41 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.02.17 16:31:00 | 000,000,100 | ---- | M] () - G:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\Shell\AutoRun\command - "" = F:\autorun.bat -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.26 17:35:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Downloads
[2010.07.23 20:21:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
[2010.07.23 20:20:36 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.23 20:20:34 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.23 20:20:34 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.23 20:20:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.22 21:23:02 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.07.22 21:22:59 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.07.22 21:08:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.07.22 21:07:45 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}
[2010.07.22 21:07:04 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.07.22 21:07:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.07.22 20:56:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla
[2010.07.22 20:53:34 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Sebastian\UserData
[2010.07.21 20:38:15 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.07.21 20:38:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.07.21 20:34:44 | 016,409,960 | ---- | C] (Safer Networking Limited                                    ) -- C:\spybotsd162.exe
[2010.07.21 20:18:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\lowsec
[2010.07.21 20:16:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5
[2010.07.21 19:55:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.07.21 19:39:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\TeamViewer
[2010.07.21 19:01:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Uniblue
[2010.07.21 17:03:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
[2010.07.21 17:03:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\MSA
[2005.06.18 08:04:56 | 000,033,792 | R--- | C] ( ) -- C:\WINDOWS\System32\a3d.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.26 16:33:46 | 000,087,808 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.07.26 16:33:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.07.26 16:32:49 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.26 16:32:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.25 19:43:29 | 000,030,600 | ---- | M] () -- C:\WINDOWS\System32\BMXStateBkp-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.25 19:43:29 | 000,030,600 | ---- | M] () -- C:\WINDOWS\System32\BMXState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.25 19:43:29 | 000,029,604 | ---- | M] () -- C:\WINDOWS\System32\BMXCtrlState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.25 19:43:29 | 000,029,604 | ---- | M] () -- C:\WINDOWS\System32\BMXBkpCtrlState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.25 19:43:29 | 000,011,564 | ---- | M] () -- C:\WINDOWS\System32\DVCState-{00000003-00000000-00000002-00001102-00000008-10211102}.rfx
[2010.07.25 19:43:29 | 000,001,080 | ---- | M] () -- C:\WINDOWS\System32\settingsbkup.sfm
[2010.07.25 19:43:29 | 000,001,080 | ---- | M] () -- C:\WINDOWS\System32\settings.sfm
[2010.07.25 19:43:20 | 008,126,464 | -H-- | M] () -- C:\Dokumente und Einstellungen\Sebastian\NTUSER.DAT
[2010.07.25 19:43:20 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Sebastian\ntuser.ini
[2010.07.25 19:43:13 | 004,958,588 | ---- | M] () -- C:\WINDOWS\{00000003-00000000-00000002-00001102-00000008-10211102}.CDF
[2010.07.25 19:43:13 | 004,958,588 | ---- | M] () -- C:\WINDOWS\{00000003-00000000-00000002-00001102-00000008-10211102}.BAK
[2010.07.23 20:20:39 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.22 21:22:59 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.07.22 21:07:44 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.07.22 20:55:45 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.07.22 20:41:50 | 000,000,541 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.22 20:41:50 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.22 20:41:50 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.07.21 23:35:31 | 000,414,778 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.21 21:38:13 | 000,000,255 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.07.21 20:34:55 | 016,409,960 | ---- | M] (Safer Networking Limited                                    ) -- C:\spybotsd162.exe
[2010.07.21 19:25:44 | 002,920,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Sebastian\Desktop\TeamViewer_Setup.exe
[2010.07.19 20:08:10 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.12 10:55:39 | 000,064,288 | ---- | M] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.07.12 10:55:38 | 000,015,880 | ---- | M] () -- C:\WINDOWS\System32\lsdelete.exe
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.23 20:20:39 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.22 21:36:12 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.07.22 21:24:09 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.07.22 21:07:44 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.07.22 20:55:45 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.07.21 19:47:27 | 002,920,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Sebastian\Desktop\TeamViewer_Setup.exe
[2007.12.13 19:14:36 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2007.02.01 21:54:26 | 000,046,593 | R--- | C] () -- C:\WINDOWS\System32\e10kxwdm.ini
[2007.02.01 21:54:26 | 000,000,193 | R--- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2007.01.21 15:10:13 | 000,000,255 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2007.01.21 14:30:45 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.01.20 18:28:58 | 000,000,423 | ---- | C] () -- C:\WINDOWS\System32\dext536.ini
[2007.01.16 21:11:14 | 000,000,217 | ---- | C] () -- C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini
[2007.01.16 21:11:12 | 000,000,228 | ---- | C] () -- C:\WINDOWS\HP_ISRegionListUpdatelog_HPSU.ini
[2007.01.16 21:11:10 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_InstantSHareJPG.ini
[2007.01.16 21:11:06 | 000,000,227 | ---- | C] () -- C:\WINDOWS\HP_CounterReport_Update_HPSU.ini
[2007.01.16 19:41:13 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.01.16 19:41:13 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.01.16 19:41:13 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.01.16 19:41:12 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.01.16 19:41:12 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.01.16 19:41:12 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.01.16 19:41:11 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.10.27 17:26:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2006.07.20 22:07:50 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\PhysXLoader.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2006.07.10 18:54:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2005.07.11 06:44:12 | 000,038,400 | ---- | C] () -- C:\WINDOWS\System32\CTBURST.DLL
[2005.06.07 15:10:50 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\CTMMACTL.DLL
[2004.08.04 00:57:22 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2003.03.21 11:56:12 | 000,000,194 | ---- | C] () -- C:\WINDOWS\System32\KILL.INI
< End of report >
--- --- ---

cosinus 26.07.2010 17:24
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKCU..\Run: [sysbrowseClient]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: cdpcqddtutsahivzkslgTaskMgr = 0
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O32 - AutoRun File - [2008.02.17 16:31:00 | 000,000,100 | ---- | M] () - G:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\Shell\AutoRun\command - "" = F:\autorun.bat -- File not found
[2010.07.21 20:18:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\lowsec
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

viperman666 26.07.2010 18:14
So,back here again.
Hab nun den"Fixlauf" durchgeführt!Der wurde auch erfolgreich beendet. Nach Beendigung hab ich dann OK gedrückt und der PC ist automatisch runtergefahren und dann wieder hoch.Nach dem Neustart kam eine Meldung er könne OTL nicht finden oder starten!? Hab das dann weggedrückt!?Hab ich was falsch gemacht!????? Hab irgendwie nix gefunden,was ich posten kann!?!?

cosinus 26.07.2010 22:28
Hast Du einen Ordner C:\_OTL ?

viperman666 27.07.2010 16:27
Hallo Arne,

hab folgendes gefunden:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\sysbrowseClient deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\cdpcqddtutsahivzkslgTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.
G:\AUTORUN.INF moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85ebf1a2-df19-11dc-a064-88964e928636}\ not found.
File F:\autorun.bat not found.
C:\WINDOWS\System32\lowsec folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 143837 bytes

User: Sebastian
->Temp folder emptied: 386959376 bytes
->Temporary Internet Files folder emptied: 9120985 bytes
->Java cache emptied: 96584442 bytes
->FireFox cache emptied: 99304518 bytes
->Flash cache emptied: 1843 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4764359 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 569,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 07262010_185002


Ist das,das was du brauchst!?

cosinus 27.07.2010 16:42
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

viperman666 28.07.2010 17:47
Servus,

So,CCleaner ist durchgeführt! Hab zum ComboFix noch eine Frage:Muß ich Ad-Aware dazu auch schließen? Ich hab nämlich keinen Plan wie ich den abschalte?! (hat mir mal mein Schwager instaliert!)
Auserdem kann ich irgendwie nix auf dem Desktop speichern,das Fenster mit den Speicheroptionen kommt bei mir nie!? Es speichert immer gleich unter eigene Dateien!?

Grützi

cosinus 29.07.2010 14:28
Ad-Aware kannst Du auch getrost deinstallieren, das Tool ist nicht notwendig.

viperman666 29.07.2010 18:43
Soo,ComboFix hab ich nun nach einigen Startproblemen durchgeführt!
Hier der Logfile:
Combofix Logfile:
Code:
ComboFix 10-07-28.04 - Sebastian 29.07.2010  19:34:04.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Eigene Dateien\Downloads\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\enemies-names.txt
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\local.ini
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\lsrslt.ini
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\userid.dat

.
(((((((((((((((((((((((  Dateien erstellt von 2010-06-28 bis 2010-07-29  ))))))))))))))))))))))))))))))
.

2010-07-22 18:53 . 2010-07-22 18:53        --------        d-s---w-        c:\dokumente und einstellungen\Sebastian\UserData
2010-07-22 13:10 . 2010-07-22 13:10        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData
2010-07-21 18:38 . 2010-07-22 19:25        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-07-21 18:38 . 2010-07-22 19:23        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-21 18:34 . 2010-07-21 18:34        16409960        ----a-w-        C:\spybotsd162.exe
2010-07-21 17:39 . 2010-07-21 17:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer
2010-07-21 17:01 . 2010-07-21 17:01        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue
2010-07-21 15:03 . 2010-07-22 19:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 17:06 . 2010-07-22 19:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-29 15:16 . 2009-06-23 20:10        1        ----a-w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-28 16:49 . 2010-07-28 16:49        --------        d-----w-        c:\programme\CCleaner
2010-07-23 18:30 . 2010-07-23 18:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-23 18:21 . 2010-07-23 18:21        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-07-23 18:20 . 2010-07-23 18:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-22 19:22 . 2010-07-22 19:22        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2010-07-22 18:37 . 2009-08-31 19:05        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData
2004-08-03 22:58 . 2008-02-17 10:51        73728        --sha-w-        c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

------- Sigcheck -------

[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]
path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\DOKUME~1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1\LOKALE~1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1\LOKALE~1\Temp

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-10-22 11:22        86016        ----a-w-        c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-11 00:00        90112        ------w-        c:\windows\Updreg.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"nwiz"=nwiz.exe /install
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1947:TCP"= 1947:TCP:HASP SRM
"1947:UDP"= 1947:UDP:HASP SRM

R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv        REG_MULTI_SZ          Tapisrv
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{18344FB9-CFC4-42D3-8646-BD31341FC8CF} - (no file)
MSConfigStartUp-ope28 - c:\dokume~1\SEBAST~1\LOKALE~1\Temp\ope28.exe
MSConfigStartUp-ope32 - c:\dokume~1\SEBAST~1\LOKALE~1\Temp\ope32.exe
MSConfigStartUp-mscj - c:\dokumente und einstellungen\sebastian\anwendungsdaten\msa\mscj.exe
MSConfigStartUp-setupupdater0002 - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\setupupdater0002.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-29 19:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,
  7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\
"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3
.
Zeit der Fertigstellung: 2010-07-29  19:38:32
ComboFix-quarantined-files.txt  2010-07-29 17:38

Vor Suchlauf: 10 Verzeichnis(se), 227.401.904.128 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 227.367.788.544 Bytes frei

- - End Of File - - 578DB679979863772FF30B59FB2E9527
--- --- ---


Ps: Hab ja jetzt das AdAware gelöscht!!!! Mein momentaner Schutz besteht nur aus der Freeware von Antivir.Hab keine Firewall oder Sonstiges.Ist das ausreichend!?!?!?!?

Gruß Daniel

cosinus 29.07.2010 19:32
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

viperman666 30.07.2010 14:56
Servus Arne,
Wie schon geschildert,bin ich zu doof um den ComboFix auf dem Desktop zu speichern!? Irgendwie kommt bei mir nie das Fenster mit den Auswahlmöglichkeiten. Es kommt nur: Datei Speichern/Abbrechen.Wenn ich dann Speichern drück,speichert er automatisch unter "Eigene Dateien".
Ähem,hüstel,hüstel. Ich find kein Notpad bei mir. (War ursprünglich mal der PC von nem Kumpel)

cosinus 30.07.2010 15:31
Rechtsklick auf den Link => Ziel speichern unter

viperman666 31.07.2010 18:25
So,hab jetzt,denk ich,alles hinbekommen!?

Hier der neueste logfile:

Combofix Logfile:
Code:
ComboFix 10-07-31.01 - Sebastian 31.07.2010  19:03:05.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sebastian\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((  Dateien erstellt von 2010-06-28 bis 2010-07-31  ))))))))))))))))))))))))))))))
.

2010-07-22 18:53 . 2010-07-22 18:53        --------        d-s---w-        c:\dokumente und einstellungen\Sebastian\UserData
2010-07-22 13:10 . 2010-07-22 13:10        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData
2010-07-21 18:38 . 2010-07-22 19:25        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-07-21 18:38 . 2010-07-22 19:23        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-21 18:34 . 2010-07-21 18:34        16409960        ----a-w-        C:\spybotsd162.exe
2010-07-21 17:39 . 2010-07-21 17:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer
2010-07-21 17:01 . 2010-07-21 17:01        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue
2010-07-21 15:03 . 2010-07-22 19:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 17:06 . 2010-07-22 19:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-29 15:16 . 2009-06-23 20:10        1        ----a-w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-28 16:49 . 2010-07-28 16:49        --------        d-----w-        c:\programme\CCleaner
2010-07-23 18:30 . 2010-07-23 18:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-23 18:21 . 2010-07-23 18:21        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-07-23 18:20 . 2010-07-23 18:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-22 19:22 . 2010-07-22 19:22        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2010-07-22 18:37 . 2009-08-31 19:05        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData
2004-08-03 22:58 . 2008-02-17 10:51        73728        --sha-w-        c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

------- Sigcheck -------

[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((((  SnapShot@2010-07-29_17.37.01  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-31 16:52 . 2010-07-31 16:52        16384              c:\windows\Temp\Perflib_Perfdata_66c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]
path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-10-22 11:22        86016        ----a-w-        c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-11 00:00        90112        ------w-        c:\windows\Updreg.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"nwiz"=nwiz.exe /install
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1947:TCP"= 1947:TCP:HASP SRM
"1947:UDP"= 1947:UDP:HASP SRM

R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv        REG_MULTI_SZ          Tapisrv
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-31 19:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,
  7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\
"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2528)
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-07-31  19:07:06
ComboFix-quarantined-files.txt  2010-07-31 17:07
ComboFix2.txt  2010-07-29 17:38

Vor Suchlauf: 11 Verzeichnis(se), 227.356.459.008 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 227.347.648.512 Bytes frei

- - End Of File - - EE07420B5DE2A1B47D857368F66D2927
--- --- ---

cosinus 31.07.2010 19:31
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe

folders to delete:
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

viperman666 02.08.2010 17:51
Servus!

Anbei das LogFile von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" not found!
Deletion of folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus 05.08.2010 09:39
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

viperman666 16.08.2010 16:03
Servus again!!!
War ein paar Tage "verurlaubt"! Hab gester Abend noch GMER und OSAM versucht,leider ohne Erfolg. GMER ist 2x (Wie befürchtet) abgeschmiert. :headbang: Osam konnte ich nicht öffnen!?!? :confused:

cosinus 16.08.2010 17:15
Mit was entpackst Du OSAM? Du solltest dazu WinRAR oder 7-zip nehmen.

viperman666 17.08.2010 16:34
Ähm,keine Ahnung! Ich klick mit der Maus drauf und dann kommt: Datei kann nicht geöffnet werden.... !?!?

cosinus 17.08.2010 16:53
Und das geht nicht. Nimm WinRAR oder 7-Zip

viperman666 17.08.2010 16:59
Zitat:
Zitat von cosinus (Beitrag 556578)
Und das geht nicht. Nimm WinRAR oder 7-Zip
Wie gesagt: "Computerdepp"!!!! Woher weiß ich ob ich das hab und wie benutz ich Die!?!?!? :( :confused:

cosinus 17.08.2010 17:02
Nimm einfach 7-Zip => 7-Zip (32 Bit) - Download - CHIP Online
Installier es und entpack die Zipdatei damit.

viperman666 17.08.2010 17:22
Sooo! Nach unendlichen Versuchen,hab ichs wohl doch geschafft!?!?

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:19:20 on 17.08.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "1-Klick-Wartung.job" "TuneUp Software GmbH" C:\Programme\TuneUp Utilities 2008\OneClick.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "alsndmgr.cpl" C:\WINDOWS\system32\alsndmgr.cpl File signed by Microsoft | File found, but it contains no detailed information
|||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS\system32\javacpl.cpl File exists
|||||| "nvcpl.cpl" "NVIDIA Corporation" C:\WINDOWS\system32\nvcpl.cpl File exists
|||||| "nvtuicpl.cpl" "NVIDIA Corporation" C:\WINDOWS\system32\nvtuicpl.cpl File exists
|||||| "PhysX.cpl" C:\WINDOWS\system32\PhysX.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
|||||| "Avira AntiVir PersonalEdition Classic " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists
|||||| "AVM Eject" (avmeject) "AVM Berlin" C:\WINDOWS\System32\drivers\avmeject.sys File exists
"catchme" (catchme) C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\catchme.sys File not found
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
"i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
|||||| "PxHelp20" (PxHelp20) "Sonic Solutions" C:\WINDOWS\System32\Drivers\PxHelp20.sys File exists
|||||| "Secdrv" (Secdrv) "Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K." C:\WINDOWS\System32\DRIVERS\secdrv.sys File exists
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists
|||||| "TCP/IP-Protokolltreiber" (Tcpip) "Microsoft Corporation" C:\WINDOWS\System32\DRIVERS\tcpip.sys File exists
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
|||||| {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists
|||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists
|||||| {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
{FBF23B40-E3F0-101B-8488-00AA003E56F8} "InternetShortcut" File not found | COM-object registry key not found
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
|||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
|||||| {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" "TuneUp Software GmbH" C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll File exists
|||||| {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" "TuneUp Software GmbH" C:\WINDOWS\System32\uxtuneup.dll File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||| {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll File exists
|||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_16.dll File exists
|||| {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_16.dll File exists
|||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_16.dll File exists
|||||| {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object"
hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab "Adobe Systems, Inc." C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||| {DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Intelligente Auswahl" "Hewlett-Packard Co." C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||||| {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" "Adobe Systems Incorporated" C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File exists
|||| {0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" "Hewlett-Packard Co." C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll File exists
|||| {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" "Hewlett-Packard Co." C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jp2ssv.dll File exists
|||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File exists
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\Sebastian\Startmenü\Programme\Autostart\desktop.ini File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||| "Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" File exists
|||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||||| "AVMWlanClient" "AVM Berlin" C:\Programme\avmwlanstick\wlangui.exe File exists
|||| "CTHelper" "Creative Technology Ltd" CTHELPER.EXE File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Programme\Java\jre6\bin\jusched.exe" File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
|||||| "ASP.NET State Service" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists
|||||| "AVM WLAN Connection Service" (AVM WLAN Connection Service) "AVM Berlin" C:\Programme\avmwlanstick\WlanNetService.exe File exists
"HASP License Manager" (hasplms) C:\WINDOWS\system32\hasplms.exe -run File not found
|||||| "HP CUE DeviceDiscovery Service" (hpqddsvc) "Hewlett-Packard Co." C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll File exists
|||||| "hpqcxs08" (hpqcxs08) "Hewlett-Packard Co." C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll File exists
|||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jqs.exe File exists
|||||| "Net Driver HPZ12" (Net Driver HPZ12) "Hewlett-Packard" C:\WINDOWS\system32\HPZinw12.dll File exists
|||||| "NMSAccessU" (NMSAccessU) C:\Programme\CDBurnerXP\NMSAccessU.exe File found, but it contains no detailed information
|||||| "Pml Driver HPZ12" (Pml Driver HPZ12) "Hewlett-Packard" C:\WINDOWS\system32\HPZipm12.dll File exists
|||||| "TuneUp Designerweiterung" (UxTuneUp) "TuneUp Software GmbH" C:\WINDOWS\System32\uxtuneup.dll File exists
|||||| "TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) "TuneUp Software GmbH" C:\WINDOWS\System32\TuneUpDefragService.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

viperman666 17.08.2010 17:47
Und nun noch das:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

cosinus 17.08.2010 19:25
Ok, zur weiteren Kontrolle des MBR bitte:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

viperman666 18.08.2010 16:50
Servus Arne!

Hier der Check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000005c

Kernel Drivers (total 128):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80702000 \WINDOWS\system32\hal.dll
0xF7D2E000 \WINDOWS\system32\KDCOM.DLL
0xF7C3E000 \WINDOWS\system32\BOOTVID.dll
0xF77DE000 ACPI.sys
0xF7D30000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CD000 pci.sys
0xF782E000 isapnp.sys
0xF783E000 ohci1394.sys
0xF784E000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7DF6000 pciide.sys
0xF7AAE000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D32000 intelide.sys
0xF785E000 MountMgr.sys
0xF77AE000 ftdisk.sys
0xF7D34000 dmload.sys
0xF7788000 dmio.sys
0xF7AB6000 PartMgr.sys
0xF786E000 VolSnap.sys
0xF7770000 atapi.sys
0xF775E000 ulsata.sys
0xF7746000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF787E000 disk.sys
0xF788E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7727000 fltMgr.sys
0xF7715000 sr.sys
0xF7ABE000 PxHelp20.sys
0xF76FE000 KSecDD.sys
0xF7671000 Ntfs.sys
0xF7644000 NDIS.sys
0xF7629000 Mup.sys
0xF78CE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7211000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF71FD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF71D9000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7B06000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF71B6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B0E000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF714A000 \SystemRoot\system32\drivers\ctaud2k.sys
0xF7129000 \SystemRoot\system32\drivers\portcls.sys
0xF78DE000 \SystemRoot\system32\drivers\drmk.sys
0xF7106000 \SystemRoot\system32\drivers\ks.sys
0xF70D4000 \SystemRoot\system32\drivers\ctoss2k.sys
0xF7B1E000 \SystemRoot\system32\drivers\ctprxy2k.sys
0xF78EE000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
0xF7B2E000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF70C3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7CD2000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF70AF000 \SystemRoot\system32\DRIVERS\parport.sys
0xF78FE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B3E000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF790E000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF791E000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF792E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7EE9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF793E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7CE6000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7098000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF794E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF795E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B6E000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7087000 \SystemRoot\system32\DRIVERS\psched.sys
0xF796E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B7E000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B8E000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6FB6000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF797E000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B96000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7D3C000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6F5A000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D06000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF798E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF4E3A000 \SystemRoot\system32\drivers\HdAudio.sys
0xF799E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D46000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF4DE1000 \SystemRoot\system32\drivers\hap17v2k.sys
0xF4CE1000 \SystemRoot\system32\drivers\ha10kx2k.sys
0xF4CB4000 \SystemRoot\system32\drivers\emupia2k.sys
0xF4C8D000 \SystemRoot\system32\drivers\ctsfm2k.sys
0xF4BF1000 \SystemRoot\system32\drivers\ctac32k.sys
0xF7D4A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7F4E000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D4E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BDE000 \SystemRoot\System32\drivers\vga.sys
0xF7D52000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D56000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BEE000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BFE000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF75E5000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF4BBE000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF4B66000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF4B3E000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF4B1D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF79BE000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF4AD3000 \SystemRoot\System32\drivers\afd.sys
0xF7CE2000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF79CE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7C16000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79DE000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7C26000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF4AA7000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF4A38000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF79EE000 \SystemRoot\System32\Drivers\Fips.SYS
0xF4A1C000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D5E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF49DB000 \SystemRoot\system32\DRIVERS\fwlanusb.sys
0xF7D02000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF7A1E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF49C3000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D62000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7B5E000 \SystemRoot\System32\watchdog.sys
0xF4E22000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xF7EA6000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xBACD4000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xBA29F000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7DE6000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xBA21D000 \??\C:\WINDOWS\system32\drivers\aksfridge.sys
0xBA13D000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
0xBA11A000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB9F82000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xB9E3F000 \SystemRoot\system32\DRIVERS\srv.sys
0xB944A000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9D77000 \SystemRoot\system32\drivers\sysaudio.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 34):
0 System Idle Process
4 System
632 C:\WINDOWS\system32\smss.exe
832 csrss.exe
856 C:\WINDOWS\system32\winlogon.exe
900 C:\WINDOWS\system32\services.exe
912 C:\WINDOWS\system32\lsass.exe
1084 C:\WINDOWS\system32\svchost.exe
1144 svchost.exe
1200 C:\WINDOWS\system32\svchost.exe
1252 svchost.exe
1312 svchost.exe
1396 C:\WINDOWS\system32\spoolsv.exe
1432 C:\Programme\Avira\AntiVir Desktop\sched.exe
1528 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1540 C:\Programme\avmwlanstick\WLanNetService.exe
1632 C:\WINDOWS\system32\svchost.exe
1644 C:\Programme\Java\jre6\bin\jqs.exe
1664 C:\WINDOWS\system32\svchost.exe
1684 C:\Programme\CDBurnerXP\NMSAccessU.exe
1696 C:\WINDOWS\system32\nvsvc32.exe
1708 C:\WINDOWS\system32\svchost.exe
1752 C:\WINDOWS\system32\svchost.exe
1768 wdfmgr.exe
476 C:\WINDOWS\explorer.exe
576 C:\Programme\avmwlanstick\WLanGUI.exe
604 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
616 C:\Programme\Java\jre6\bin\jusched.exe
624 C:\WINDOWS\CTHELPER.EXE
664 C:\WINDOWS\system32\ctfmon.exe
2376 C:\WINDOWS\system32\svchost.exe
2444 alg.exe
3848 C:\Programme\Mozilla Firefox\firefox.exe
252 C:\Dokumente und Einstellungen\Sebastian\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD2500JD-00HBB0, Rev: 08.02D08
PhysicalDrive1 Model Number: ASSMNUGPS5240C, Rev: TV01-005

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1

cosinus 18.08.2010 18:16
Das Log ist nicht ganz vollständig. Der untere Teil fehlt:

Zitat:
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1

viperman666 18.08.2010 19:14
Das ist alles was als Log gespeichert wurde! Es ist aber nach Beendigung des Scans ein blauer Bildschirm erschienen mit der Warnung ein schwerwiegender Fehler wäre gefunden worden! Danach konnt ich den PC nur noch per Stecker ziehen ausschalten! Hab nun ein wenig Muffe das nochmals zu machen!?

cosinus 18.08.2010 20:43
Probiers nochmal, kaputtgehen kann nichts ;)

viperman666 12.09.2010 17:49
Hallöle,

da mein Pc eigentlich wieder perfekt läuft(denk ich jedenfalls!?),Hab ich ganz vergessen nochmals den Scan zu machen.Sorry!!!!!

Hab heute nochmals (3x!!!!!) versucht,jedoch jedesmal abgeschmiert.Jedes Protokoll geht dann nur bis Drive1,so wie beim geposteten Log.

cosinus 12.09.2010 21:29
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

viperman666 13.09.2010 18:41
Hi,

vorab mal den Log von Maleware:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4608

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

13.09.2010 19:38:41
mbam-log-2010-09-13 (19-38-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 172945
Laufzeit: 19 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55