Trojaner-Board - Malware, kritischer Fehler

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Malware, kritischer Fehler (https://www.trojaner-board.de/89399-malware-kritischer-fehler.html)

Malware, kritischer Fehler

hallo, kann mir bitte jemand helfen...
ich habe das gleiche Problem wie anscheinend so einige hier. Habe plötzlich Fehlermeldungen von Antivir erhalten und eh ich mich versah blinkten haufenweise Fenster auf von Antimalware doctor und antivir solution pro.
Habe mich dann hier im Forum belesen und gehofft mit Malwarebytes und OTL alles beseitigt zu haben. Die ganzen Fenster blinken inzwischen nicht mehr auf und zu finden ist auch nichts mehr, allerdings bekomme ich jetzt jedesmal wenn ich den Rechner mit dem Internet verbinde die Meldung, dass ein kritischer Fehler bestände und Windows in einer Minute neu gestartet werden muss. Diese Meldung habe ich allerdings nur wenn ich ins Internet möchte.
Was kann ich tun, könnt ihr mir bitte helfen?

Zitat:

Habe mich dann hier im Forum belesen und gehofft mit Malwarebytes und OTL alles beseitigt zu haben.

Wo ist das Log von malwarebytes?
Was hast Du mit OTL beseitigt? Du musst mit OTL manuell Einträge raussuchen, wenn Du keine Ahung davon hast zerschießt Du Dir das System leicht!

Entschuldigung, da hab ich mich wohl etwas ungünstig ausgedrückt. Ich habe mich an die Anweisung "maleware entfernen" gehalten und gehofft alles beseitigt zu haben, da kein Fund mehr angezeigt wurde. Allerding besteht die Meldung:
kritischer Fehler ist aufgetreten, Windows wird in einer Minute neu gestartet...
weiter..

hier das letzte Log von malwarebytes:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4420

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

12.08.2010 08:10:32
mbam-log-2010-08-12 (08-10-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 129857
Laufzeit: 7 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das Log ist unnsinnig Du musst das mit den Funden posten!

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4418

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

11.08.2010 10:45:07
mbam-log-2010-08-11 (10-45-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 130295
Laufzeit: 8 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sulndflk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\secureapp70700.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Nine\AppData\Local\hpinloguv\nuqhykmtssd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Nine\AppData\Roaming\A8BC87D2D6485630A6AD8E52F4857C48\secureapp70700.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Windows\System32\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Users\Nine\AppData\Local\Temp\iphsexmn.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Users\Nine\AppData\Local\Temp\rtervrjv.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Nine\AppData\Local\Temp\ogjpeed.exe (Adware.BHO) -> Quarantined and deleted successfully.

Bitte einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

habe noch einmal einen Scan mit Malwarebytes durchgeführt. Allerdings findet der nichts mehr, das ist ja das komische, weil dieses Problem mit der Warnmeldung von Windows bestehen bleibt ich ins Netz will. Was hat das zu bedeuten, ist doch noch ein Virus vorhanden?

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4420

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

12.08.2010 14:18:38
mbam-log-2010-08-12 (14-18-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 330599
Laufzeit: 1 Stunde(n), 33 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

C:\Windows\System32\drivers\ravag.sys

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Danach: Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6522

[2010.08.10 20:08:21 | 000,000,000 | ---D | C] -- C:\Users\Nine\AppData\Local\hpinloguv

[2010.08.10 20:08:01 | 000,000,000 | ---D | C] -- C:\Users\Nine\AppData\Roaming\A8BC87D2D6485630A6AD8E52F4857C48

[2010.08.12 09:56:44 | 000,782,336 | ---- | M] () -- C:\Windows\System32\drivers\ravag.sys

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

kann die gewünscht Datei nicht hochladen, da folgende Fehlermeldung kommt:

ravag.sys
Ein an das Gerät angeschlossenes Gerät funktioniert nicht.

Außerdem hat sich soeben Antivir gemeldet mit folgendem Fund:

Die Datei 'C:\Users\Nine\AppData\Local\Mozilla\Firefox\Profiles\cmswdcip.default\Cache\084135CBd01'
enthielt einen Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic].
Durchgeführte Aktion(en):
Der Fund wurde als verdächtig eingestuft.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d64c8a.qua' verschoben!

das Ergebnis was mir angezeigt wurde nachdem der Rechner neu gestartet ist:

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
C:\Users\Nine\AppData\Local\hpinloguv folder moved successfully.
C:\Users\Nine\AppData\Roaming\A8BC87D2D6485630A6AD8E52F4857C48 folder moved successfully.
File C:\Windows\System32\drivers\ravag.sys not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: XXX
->Temp folder emptied: 2491283 bytes
->Temporary Internet Files folder emptied: 40084 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 17297464 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 911 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 31827 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 19,00 mb

OTL by OldTimer - Version 3.2.9.1 log created on 08122010_150004

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier das Ergebnis von Cofi:

Combofix Logfile:

Code:

ComboFix 10-08-11.05 - Nine 12.08.2010  15:54:21.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3070.1992 [GMT 2:00]

ausgeführt von:: c:\users\Nine\Desktop\CoFi.exe.exe

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-07-12 bis 2010-08-12  ))))))))))))))))))))))))))))))

.
 

2010-08-12 14:01 . 2010-08-12 14:01        --------        d-----w-        c:\users\Nine\AppData\Local\temp

2010-08-12 14:01 . 2010-08-12 14:01        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-08-11 22:01 . 2010-08-11 22:01        --------        d-----w-        c:\users\Nine\AppData\Roaming\Avira

2010-08-11 21:59 . 2010-03-01 08:05        124784        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2010-08-11 21:59 . 2010-02-16 12:24        60936        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-08-11 21:59 . 2009-05-11 10:49        51992        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2010-08-11 21:59 . 2009-05-11 10:49        17016        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2010-08-11 21:59 . 2010-08-11 21:59        --------        d-----w-        c:\programdata\Avira

2010-08-11 21:59 . 2010-08-11 21:59        --------        d-----w-        c:\program files\Avira

2010-08-11 20:46 . 2010-08-11 20:46        93056        ----a-w-        C:\kwldqpow.sys

2010-08-11 17:28 . 2010-06-18 17:31        36864        ----a-w-        c:\windows\system32\rtutils.dll

2010-08-11 17:28 . 2010-06-11 16:15        1248768        ----a-w-        c:\windows\system32\msxml3.dll

2010-08-11 17:28 . 2010-06-16 16:04        905088        ----a-w-        c:\windows\system32\drivers\tcpip.sys

2010-08-11 17:28 . 2010-06-18 15:04        302080        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-08-11 17:28 . 2010-06-18 15:04        144896        ----a-w-        c:\windows\system32\drivers\srv2.sys

2010-08-11 16:01 . 2010-08-11 16:03        --------        d-----w-        C:\rsit

2010-08-11 16:01 . 2010-08-11 16:01        --------        d-----w-        c:\program files\trend micro

2010-08-11 10:30 . 2010-08-11 10:30        --------        d-----w-        C:\_OTL

2010-08-11 08:11 . 2010-08-11 08:11        --------        d-----w-        c:\users\Nine\AppData\Roaming\Malwarebytes

2010-08-11 08:11 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-11 08:11 . 2010-08-11 08:11        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-08-11 08:11 . 2010-08-11 08:11        --------        d-----w-        c:\programdata\Malwarebytes

2010-08-11 08:11 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-08-08 18:37 . 2010-08-08 18:37        --------        d-----w-        c:\users\Nine\AppData\Local\Opera

2010-08-08 18:36 . 2010-08-08 19:53        --------        d-----w-        c:\program files\Opera

2010-08-08 18:25 . 2010-08-08 18:25        --------        d-----w-        c:\programdata\McAfee

2010-08-08 18:25 . 2010-08-08 18:25        --------        d-----w-        c:\programdata\McAfee Security Scan

2010-08-08 18:25 . 2010-08-08 18:25        --------        d-----w-        c:\program files\McAfee Security Scan

2010-08-08 10:22 . 2010-08-08 10:22        --------        d-----w-        c:\program files\DVDVideoSoftTB

2010-08-08 10:22 . 2010-08-08 10:22        52224        ----a-w-        c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll

2010-08-08 10:22 . 2010-08-08 10:22        101376        ----a-w-        c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll

2010-08-03 18:53 . 2010-08-05 08:22        --------        d-----w-        c:\users\Nine\dwhelper

2010-07-29 11:10 . 2010-08-08 21:17        --------        d-----w-        c:\program files\JDownloader

2010-07-26 21:13 . 2010-07-26 21:13        --------        d-----w-        c:\users\Nine\AppData\Roaming\DVDVideoSoftIEHelpers

2010-07-23 08:50 . 2010-06-18 19:42        17276        ----a-w-        c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\fbchathistory@firechm.com\content\common.js.com

2010-07-23 08:50 . 2010-06-18 19:42        13869        ----a-w-        c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\fbchathistory@firechm.com\content\fbchathistory.js.com

2010-07-23 08:50 . 2010-06-18 19:42        12538        ----a-w-        c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\fbchathistory@firechm.com\content\history.js.com
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-12 13:48 . 2009-12-07 19:55        --------        d-----w-        c:\users\Nine\AppData\Roaming\Skype

2010-08-12 13:47 . 2010-04-10 17:47        --------        d-----w-        c:\users\Nine\AppData\Roaming\Dropbox

2010-08-12 10:26 . 2008-04-16 11:11        628742        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-12 10:26 . 2008-04-16 11:11        126454        ----a-w-        c:\windows\system32\perfc007.dat

2010-08-12 08:55 . 2010-02-10 10:26        --------        d-----w-        c:\program files\Mozilla Thunderbird

2010-08-12 06:07 . 2009-12-07 19:57        --------        d-----w-        c:\users\Nine\AppData\Roaming\skypePM

2010-08-11 22:10 . 2006-11-02 11:18        --------        d-----w-        c:\program files\Windows Mail

2010-08-11 10:26 . 2010-05-12 15:25        1        ----a-w-        c:\users\Nine\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-08-10 20:10 . 2009-12-08 08:31        --------        d-----w-        c:\programdata\FLEXnet

2010-08-10 18:09 . 2009-12-07 23:05        --------        d-----w-        c:\users\Nine\AppData\Roaming\Azureus

2010-08-08 21:08 . 2009-12-07 20:00        --------        d-----w-        c:\program files\DVDVideoSoft

2010-08-08 21:07 . 2009-12-07 20:00        --------        d-----w-        c:\program files\Common Files\DVDVideoSoft

2010-08-07 18:27 . 2010-04-03 11:14        880640        ----a-w-        c:\users\Nine\fbchathistory.dat

2010-08-03 11:56 . 2010-02-13 15:48        --------        d-----w-        c:\users\Nine\AppData\Roaming\Image Zone Express

2010-07-23 14:04 . 2010-05-28 12:33        --------        d-----w-        c:\users\Nine\AppData\Roaming\FileZilla

2010-07-23 09:17 . 2009-12-15 14:57        680        ----a-w-        c:\users\Nine\AppData\Local\d3d9caps.dat

2010-07-07 20:56 . 2010-02-10 10:28        10751068        ----a-w-        c:\users\Nine\AppData\Roaming\Thunderbird\Profiles\ktv4i1au.default\ImapMail\imap.gmail.com\janine.schlesinger@gmail.com

2010-06-29 15:47 . 2010-08-11 17:29        834048        ----a-w-        c:\windows\system32\wininet.dll

2010-06-28 16:13 . 2010-08-11 17:29        78336        ----a-w-        c:\windows\system32\ieencode.dll

2010-06-25 01:02 . 2010-06-25 01:02        --------        d-----w-        c:\program files\Microsoft.NET

2010-06-21 13:37 . 2010-08-11 17:29        2037760        ----a-w-        c:\windows\system32\win32k.sys

2010-06-11 16:16 . 2010-08-11 17:29        274944        ----a-w-        c:\windows\system32\schannel.dll

2010-06-08 17:35 . 2010-08-11 17:29        3548040        ----a-w-        c:\windows\system32\ntoskrnl.exe

2010-06-08 17:35 . 2010-08-11 17:29        3600768        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2010-05-27 20:08 . 2010-08-11 17:29        81920        ----a-w-        c:\windows\system32\iccvid.dll

2010-05-26 17:06 . 2010-06-11 18:04        34304        ----a-w-        c:\windows\system32\atmlib.dll

2010-05-26 14:47 . 2010-06-11 18:04        289792        ----a-w-        c:\windows\system32\atmfd.dll

2010-05-21 12:14 . 2009-12-08 07:49        221568        ------w-        c:\windows\system32\MpSigStub.exe

2009-12-10 08:38 . 2009-12-10 12:57        1924200        ----a-w-        c:\program files\install_flash_player10.0.42.34.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\program files\DVDVideoSoft\tbDVDV.dll" [2010-03-09 2355224]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
 

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
 

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

2010-04-27 08:08        2393184        ----a-w-        c:\program files\DVDVideoSoftTB\tbDVDV.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

2010-03-09 09:06        2355224        ----a-w-        c:\program files\DVDVideoSoft\tbDVDV.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\program files\DVDVideoSoft\tbDVDV.dll" [2010-03-09 2355224]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
 

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
 

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\program files\DVDVideoSoft\tbDVDV.dll" [2010-03-09 2355224]

"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\program files\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
 

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
 

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\users\Nine\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\users\Nine\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\users\Nine\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"CK POPUP KILLER"="c:\ck popup killer\PKILL.EXE" [2001-05-14 1241088]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-30 61440]

"ATKOSD2"="c:\program files\ASUS\ATKOSD2\ATKOSD2.exe" [2009-08-17 6859392]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
 

c:\users\Nine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\Nine\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]

Stardock ObjectDock.lnk - c:\stardock\ObjectDock\ObjectDock.exe [2009-12-7 3444008]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2006-12-10 20:52        49152        ----a-w-        c:\program files\HP\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"sta"=rundll32 "ktsop.dll",,Run

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):7d,93,ea,88,8d,b2,ca,01
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2684614725-1401231723-2353267314-1000]

"EnableNotificationsRef"=dword:00000001
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 136176]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

R3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2008-10-21 548864]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]

S2 ASTSRV;Nalpeiron Licensing Service;c:\windows\system32\ASTSRV.EXE [2008-05-19 57344]

S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2009-07-28 73528]

S3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSGB6.sys [2008-05-02 48128]
 
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - ravag
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2010-08-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 06:38]
 

2010-08-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 06:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050

IE: An vorhandenes PDF anfügen - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: In Adobe PDF konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

FF - ProfilePath - c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&ai=13054

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - google.de

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=

FF - prefs.js: network.proxy.type - 0

FF - component: c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll

FF - component: c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll

FF - component: c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll

FF - component: c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll

FF - component: c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll

FF - component: c:\users\Nine\AppData\Roaming\Mozilla\Firefox\Profiles\cmswdcip.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll

FF - plugin: c:\divx\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: c:\divx\DivX Web Player\npdivx32.dll

FF - plugin: c:\program files\Acrobat 8.0\Acrobat\browser\nppdf32.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\users\Nine\AppData\Roaming\Facebook\npfbplugin_1_0_0.dll

FF - plugin: c:\users\Nine\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll

FF - plugin: c:\users\Nine\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

c:\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\mozilla firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);

c:\mozilla firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\mozilla firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKU-Default-Run-FRITZ!protect - FwebProt.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-12 16:01

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ravag]
 

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'Explorer.exe'(748)

c:\stardock\ObjectDock\DockShellHook.dll

c:\users\Nine\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

.

Zeit der Fertigstellung: 2010-08-12  16:05:29

ComboFix-quarantined-files.txt  2010-08-12 14:05
 

Vor Suchlauf: 20 Verzeichnis(se), 82.803.875.840 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 82.733.334.528 Bytes frei
 

Current=2 Default=2 Failed=1 LastKnownGood=7 Sets=1,2,3,4,5,6,7

- - End Of File - - A2F2AE32CB54BD98077DD120CCB6D45E

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

also hier schonmal das ergebnis von osam:

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 17:18:29 on 12.08.2010
OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||| "GoogleUpdateTaskMachineUA.job" "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
Control Panel Objects
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Nero BurnRights" "Nero AG" C:\Nero 7\Nero Toolkit\NeroBurnRights.cpl File exists
|||||| "QuickTime" "Apple Inc." C:\Program Files\QuickTime\QTSystem\QuickTime.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\Windows\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\Windows\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\Users\Nine\AppData\Local\Temp\catchme.sys File not found
"kwldqpow" (kwldqpow) C:\Users\Nine\AppData\Local\Temp\kwldqpow.sys Hidden registry entry, rootkit activity | File not found
"ravag" (ravag) C:\Windows\system32\drivers\ravag.sys Hidden registry entry, rootkit activity | File not found
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\Windows\System32\DRIVERS\ssmdrv.sys File exists
Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" File not found | COM-object registry key not found
{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" File not found | COM-object registry key not found
{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" File not found | COM-object registry key not found
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" C:\Program Files\FreeTime\FormatFactory\FFModules\Filters\Haali\mmfinfo.dll File found, but it contains no detailed information
|||||| {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" "Nero AG" C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll File exists
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" "Skype Technologies" C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" File not found | COM-object registry key not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" File not found | COM-object registry key not found
|||||| {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" "Adobe Systems Inc." C:\Program Files\Acrobat 8.0\Acrobat Elements\ContextMenu.dll File exists
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" File not found | COM-object registry key not found
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" File not found | COM-object registry key not found
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" File not found | COM-object registry key not found
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" File not found | COM-object registry key not found
|||||| {0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" C:\Program Files\FreeTime\FormatFactory\FFModules\Filters\Haali\mmfinfo.dll File found, but it contains no detailed information
|||||| {5574006C-28F5-4a65-A28C-74DE6BFBE0BB} "Haali Matroska Shell Property Page" C:\Program Files\FreeTime\FormatFactory\FFModules\Filters\Haali\mmfinfo.dll File found, but it contains no detailed information
|||||| {327669A0-59A7-4be9-B99E-1C9F3A57611A} "Haali Matroska Thumbnail Extractor" C:\Program Files\FreeTime\FormatFactory\FFModules\Filters\Haali\mmfinfo.dll File found, but it contains no detailed information
|||||| {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" "Apple Inc." C:\Program Files\iTunes\iTunesMiniPlayer.dll File exists
{00020d75-0000-0000-c000-000000000046} "lnkfile" File not found | COM-object registry key not found
|||||| {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" "Nero AG" C:\Nero 7\Nero CoverDesigner\CoverEdExtension.dll File exists
|||||| {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" "Nero AG" C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll File exists
|||||| {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" "Nero AG" C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" File not found | COM-object registry key not found
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" File not found | COM-object registry key not found
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" "Advanced Micro Devices, Inc." C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll File exists
|||||| {4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" "TuneUp Software" C:\TuneUp Utilities 2009\DseShExt-x86.dll File exists
|||||| {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" "TuneUp Software" C:\TuneUp Utilities 2009\SDShelEx-win32.dll File exists
|||||| {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" "TuneUp Software" C:\Windows\System32\uxtuneup.dll File exists
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" File not found | COM-object registry key not found
|||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" "Alexander Roshal" C:\WinRAR\rarext.dll File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
|||| "Adobe PDF" "Adobe Systems Incorporated" C:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll File exists
|| "DVDVideoSoft Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoft\tbDVDV.dll File exists
"DVDVideoSoftTB Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoftTB\tbDVDV.dll File exists
"ITBar7Layout" File not found | COM-object registry key not found
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
|| {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoft Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoft\tbDVDV.dll File exists
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoftTB\tbDVDV.dll File exists
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists
|||| {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists
|||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\npjpi160_18.dll File exists
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}"
hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
|||| "Adobe PDF" "Adobe Systems Incorporated" C:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll File exists
|| {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoft Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoft\tbDVDV.dll File exists
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoftTB\tbDVDV.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||| {AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" "Adobe Systems Incorporated" C:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll File exists
|||||| {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" "Adobe Systems Incorporated" C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File exists
|| {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoft Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoft\tbDVDV.dll File exists
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" "Conduit Ltd." C:\Program Files\DVDVideoSoftTB\tbDVDV.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2ssv.dll File exists
{C17C7688-31D1-46D7-8C9B-5D253E4F5D5E} "VMLoadHBO Class" "TODO: " C:\Users\Nine\AppData\Roaming\VMLoad\addin\VMLoad.dll File exists
Logon
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
|||||| "desktop.ini" C:\Users\Nine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists
|| "Dropbox.lnk" C:\Users\Nine\AppData\Roaming\Dropbox\bin\Dropbox.exe Shortcut exists | File exists
|||||| "Stardock ObjectDock.lnk" "Stardock" C:\Stardock\ObjectDock\ObjectDock.exe Shortcut exists | File exists
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup
|||||| "desktop.ini" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists
|||||| "McAfee Security Scan Plus.lnk" "McAfee, Inc." C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe Shortcut exists | File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CK POPUP KILLER" "CK Software" C:\CK Popup Killer\PKILL.EXE -hide File exists
|||| "Skype" "Skype Technologies S.A." "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File exists
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd
"StartupPrograms" rdpclip File not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||| "ATKOSD2" "ASUS" C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe File exists
|||||| "avgnt" "Avira GmbH" "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||| "StartCCC" "Advanced Micro Devices, Inc." "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Program Files\Common Files\Java\Java Update\jusched.exe" File exists
Print Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
|||||| "Adobe PDF Port" "Adobe Systems Incorporated." C:\Windows\system32\AdobePDF.dll File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "@%SystemRoot%\System32\TuneUpDefragService.exe,-1" (TuneUp.Defrag) "TuneUp Software" C:\Windows\System32\TuneUpDefragService.exe File exists
|||||| "@%SystemRoot%\System32\TUProgSt.exe,-1" (TuneUp.ProgramStatisticsSvc) "TuneUp Software" C:\Windows\System32\TUProgSt.exe File exists
|||||| "@%SystemRoot%\System32\uxtuneup.dll,-4096" (UxTuneUp) "TuneUp Software" C:\Windows\System32\uxtuneup.dll File exists
|||||| "@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe File exists
|||||| "Apple Mobile Device" (Apple Mobile Device) "Apple Inc." C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe File exists
|||||| "ASLDR Service" (ASLDRService) C:\Program Files\ATK Hotkey\ASLDRSrv.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Program Files\Avira\AntiVir Desktop\sched.exe File exists
|||||| "AVM IGD CTRL Service" (IGDCTRL) "AVM Berlin" C:\Program Files\FRITZ!DSL\IGDCTRL.EXE File exists
|||||| "Bonjour-Dienst" (Bonjour Service) "Apple Inc." C:\Program Files\Bonjour\mDNSResponder.exe File exists
|||||| "FLEXnet Licensing Service" (FLEXnet Licensing Service) "Macrovision Europe Ltd." C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe File exists
|||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Program Files\Google\Update\GoogleUpdate.exe File exists
|||||| "HP CUE DeviceDiscovery Service" (hpqddsvc) "Hewlett-Packard Co." C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll File exists
|||||| "hpqcxs08" (hpqcxs08) "Hewlett-Packard Co." C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll File exists
|||||| "iPod-Dienst" (iPod Service) "Apple Inc." C:\Program Files\iPod\bin\iPodService.exe File exists
|||||| "McAfee Security Scan Component Host Service" (McComponentHostService) "McAfee, Inc." C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe File exists
|||||| "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) "Microsoft Corporation" C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe File exists
|||||| "Nalpeiron Licensing Service" (ASTSRV) "Nalpeiron Ltd." C:\Windows\system32\ASTSRV.EXE File exists
|||||| "NBService" (NBService) "Nero AG" C:\Nero 7\Nero BackItUp\NBService.exe File exists
|||||| "Net Driver HPZ12" (Net Driver HPZ12) "Hewlett-Packard" C:\Windows\system32\HPZinw12.dll File exists
|||||| "NMIndexingService" (NMIndexingService) "Nero AG" C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe File exists
|||||| "Pml Driver HPZ12" (Pml Driver HPZ12) "Hewlett-Packard" C:\Windows\system32\HPZipm12.dll File exists
|||||| "UPnPService" (UPnPService) "Magix AG" C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe File exists
Winsock Providers
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
|||||| "mdnsNSP" "Apple Inc." C:\Program Files\Bonjour\mdnsNSP.dll File exists

If You have questions or want to get some help, You can visit Online Solutions :: Index

und hier remove.exe:

Bootkit Remover
(c) 2009 eSage Lab
esage lab - main

Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002`ee1af400
Boot sector MD5 is: ce1f92f8dc2583dab8e491967abacde8

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...