speedport.ip nicht zu erreichen, nur mit ip + malwarebyte startet nicht
 

Ich glaube ich habe ein Problem mit der Namensauflösung.
Folgendes tritt auf:

-der Router ist nur noch über die ip zu erreichen, nicht über den Namen
-malwarebyte lässt sich nicht starten
-Programme, die bei der Installation auf das Internet zugreifen finden diese Adresse nicht
-firefox öffnet Seiten erst nach Verzögerung. Hier werden viele Seiten in der Statusleiste angezeigt, sowie "nachschlagen von..."

kennt jemand das Problem ?

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,
würd ich ja gern aber,

malwarebyte startet auch nach Neuinstallation nicht

ich habe dann mit a-squared gescannt, aber nichts gefunden

OTL werd ich nachher posten

Probier malwarebytes über diesen random installer => http://malwarebytes.org/mbam-download-exe-random.php

hier ist der OTL Logfile:

OTL Extras logfile created on: 30.08.2010 20:28:33 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\user\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 56,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,52 Gb Total Space | 9,92 Gb Free Space | 40,46% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 25,00 Gb Total Space | 20,10 Gb Free Space | 80,40% Space Free | Partition Type: NTFS
Drive F: | 25,00 Gb Total Space | 20,67 Gb Free Space | 82,68% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive Y: | 29,29 Gb Total Space | 6,20 Gb Free Space | 21,16% Space Free | Partition Type: NTFS
Drive Z: | 29,29 Gb Total Space | 5,48 Gb Free Space | 18,71% Space Free | Partition Type: NTFS

Computer Name: CINTO
Current User Name: user
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\xampp\xampp\mysql\bin\mysqld.exe" = C:\xampp\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- (MySQL AB)
"C:\xampp\xampp\apache\bin\httpd.exe" = C:\xampp\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\xampp\xampp\FileZillaFTP\FileZilla Server.exe" = C:\xampp\xampp\FileZillaFTP\FileZilla Server.exe:*:Enabled:FileZilla Server -- (FileZilla Project)
"C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe" = C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe:*:Enabled:Camfrog Client Module -- File not found
"E:\software\wtools\Wtools_V0.1\Wtools_V0.1.exe" = E:\software\wtools\Wtools_V0.1\Wtools_V0.1.exe:*:Enabled:Wtools_V0.1 -- ()
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Logitech\Logitech Vid\Vid.exe" = C:\Programme\Logitech\Logitech Vid\Vid.exe:*:Enabled:Logitech Vid -- (Logitech Inc.)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

und hier der zweite logfileOTL Logfile:
--- --- ---

Hallo Arne,

ich kann die Seite

hxxp://www.malwarebytes.org/

weder über firefox noch ie erreichen.

den Link kann ich auch leider nicht aufrufen.

Hast Du evtl. nur ein DNS-Problem? :wtf:

Gib mal ein über Start Ausführen:

Mit Ok ausführen. Öffne danach die Datei c:\ipconfigall.txt und poste den Inhalt.

Hallo Arne,
hier das Ergebnis:

Windows-IP-Konfiguration



Hostname. . . . . . . . . . . . . : Cinto

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein



Ethernetadapter Drahtlose Netzwerkverbindung:



Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Atheros AR5006EG Wireless Network Adapter

Physikalische Adresse . . . . . . : 00-C0-A8-C4-88-7B

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.2.107

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DHCP-Server . . . . . . . . . . . : 192.168.2.1

DNS-Server. . . . . . . . . . . . : 93.188.163.182

93.188.166.182

Lease erhalten. . . . . . . . . . : Montag, 30. August 2010 18:38:14

Lease läuft ab. . . . . . . . . . : Montag, 20. September 2010 18:38:14



Ethernetadapter LAN-Verbindung:



Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung

Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller

Physikalische Adresse . . . . . . : 00-17-42-13-85-F8



Gruß Olaf

Da ist das Problem. Da Du die Einstellungen über DHCP bekommst, heißt das Dein Router wurde manipuliert. DLink-Router? Und Du hast bestimmt nicht das Standardpasswort geändert... :balla:

Ich würde vorschlagen Du resettest den Router und versetzt ihn damit in Werkseinstellungen, danach musst Du selbstverständlich die Zugangsdaten usw. neu eingeben. Unbedingt das Standardpasswort im Router ändern!

Hallo Arne,

vielen Dank erstmal soweit. Und ja - du hast Recht :(

Mir war nicht bewußt das der Router auch angegriffen werden kann.
Hab übrigens ein W900V.

Dann werd ich mal zum resetten.


Was macht denn dieser DNS Server ? Laufen dann alle Anfragen über diese angegebene IP ?

Gruß olaf

DNS = Domain Name System
Dein Rechner kann mit Namen wie trojaner-board.de, web.de etc nichts anfangen. Also fragt er einen DNS-Server, welche IP-Adresse trojaner-board.de oder web.de haben. Wenn Du einen "bösen" DNS drinhast, bekommst Du mehr oder wenige unsinnige oder falsche IP-Adressen. Das kann sogar dazu führen, dass Du meinetwegen sparkasse.de eingibst, aber garnicht auf der echten Sparkassenseite ankommst!

Am Speedport liegt es wohl nicht.

Habe den Router in Werkseinstellung versetzt und bekommen die gleiche DNS geliefert.

...
Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.2.107
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.1
DNS-Server. . . . . . . . . . . . : 93.188.163.182
93.188.166.182
...

mein anderer Rechner der am gleichen Router hängt
hat die DNS 192.168.2.1

hier scheint wohl alles in Ordnung zu sein, also müsste das Problem am Rechner und nicht am Router liegen , oder ?
hat jemand eine Lösung ? Arne ?

Vg
olaf

Zumindest hab ich jetzt einen Teilerfolg erzielt. Über die TCP/IP Eigenschaften der Netzwerkverbindung das Häkchen bei DNS Adresse automatisch beziehen. Zumindest ist jetzt die böse DNS raus.
Aber,
Malwarbytes lässt sich auch nach wiederholter Neuinstallation nicht starten.
HILFE

Hm ok, ich dachte zuerst wäre der Router infiziert, weil Daten wie IP-Adresse, Subnetzmakse und auch DNS-Server vom Router kommen, normalerweise. Aber man kann auch den DNS-Server und zB einen weiteren Standardgateway manuell definieren, auch bei DHCP.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

vielen Dank erstmal bis dahin. Hier ist mein log von Combofix

-----------------------------------------------------------------------
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne ,
hier ist die neue log Datei:
-------------------------------------------------------------------------Combofix Logfile:
--- --- ---

Hallo Arne,

nach der ersten Ausführung von Combo Fix hat mein Avira folgendes gefunden:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 1. September 2010 15:55

Es wird nach 2765985 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CINTO

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:18
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:33:00
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:44
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:44
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:47:09
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 16:47:19
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:47:42
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 16:47:42
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 16:47:42
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 16:47:42
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 16:47:42
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 16:47:42
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 16:47:43
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 16:47:47
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 16:47:48
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 16:47:48
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 16:47:49
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 16:47:50
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 16:47:52
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 16:47:53
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 16:47:54
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 16:47:55
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 16:47:55
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 16:47:56
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 16:47:57
VBASE026.VDF : 7.10.11.34 2048 Bytes 27.08.2010 16:47:57
VBASE027.VDF : 7.10.11.35 2048 Bytes 27.08.2010 16:47:57
VBASE028.VDF : 7.10.11.36 2048 Bytes 27.08.2010 16:47:57
VBASE029.VDF : 7.10.11.37 2048 Bytes 27.08.2010 16:47:57
VBASE030.VDF : 7.10.11.38 2048 Bytes 27.08.2010 16:47:57
VBASE031.VDF : 7.10.11.50 145920 Bytes 30.08.2010 16:47:58
Engineversion : 8.2.4.46
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.08.2010 16:48:12
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 30.08.2010 16:48:12
AESCN.DLL : 8.1.6.1 127347 Bytes 30.08.2010 16:48:10
AESBX.DLL : 8.1.3.1 254324 Bytes 30.08.2010 16:48:13
AERDL.DLL : 8.1.8.2 614772 Bytes 30.08.2010 16:48:10
AEPACK.DLL : 8.2.3.5 471412 Bytes 30.08.2010 16:48:09
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 30.08.2010 16:48:08
AEHEUR.DLL : 8.1.2.19 2867574 Bytes 30.08.2010 16:48:07
AEHELP.DLL : 8.1.13.3 242038 Bytes 30.08.2010 16:48:02
AEGEN.DLL : 8.1.3.20 397684 Bytes 30.08.2010 16:48:01
AEEMU.DLL : 8.1.2.0 393588 Bytes 30.08.2010 16:48:00
AECORE.DLL : 8.1.16.2 192887 Bytes 30.08.2010 16:48:00
AEBB.DLL : 8.1.1.0 53618 Bytes 30.08.2010 16:47:59
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:12
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:08
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:42
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:46
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:50
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:12
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:26
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:54
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:56
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:10
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4cb80160\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 1. September 2010 15:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netzmanager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\pci.sys.vir'
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\pci.sys.vir
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e67faa3.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 1. September 2010 15:55
Benötigte Zeit: 00:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
40 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
39 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Hier sind weitere Avira Funde:

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{B84C4992-2AE7-4678-9ADE-61AFF385987D}\RP168\A0066523.dll
[FUND] Ist das Trojanische Pferd TR/Olmarik.110592
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ae4b89.qua' verschoben!
C:\System Volume Information\_restore{B84C4992-2AE7-4678-9ADE-61AFF385987D}\RP168\A0066521.dll
[FUND] Ist das Trojanische Pferd TR/Olmarik.110592
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f39642e.qua' verschoben!



UND


Beginne mit der Suche in 'C:\System Volume Information\_restore{B84C4992-2AE7-4678-9ADE-61AFF385987D}\RP172\A0067957.sys'
C:\System Volume Information\_restore{B84C4992-2AE7-4678-9ADE-61AFF385987D}\RP172\A0067957.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e2efd5c.qua' verschoben!

Hallo Arne,
habe jetzt nochmal einen Komplettscan mit Avira vollzogen und dieser hat folgendes gefunden:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 1. September 2010 18:42

Es wird nach 2765985 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CINTO

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:18
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:33:00
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:44
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:44
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:47:09
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 16:47:19
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:47:42
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 16:47:42
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 16:47:42
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 16:47:42
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 16:47:42
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 16:47:42
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 16:47:43
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 16:47:47
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 16:47:48
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 16:47:48
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 16:47:49
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 16:47:50
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 16:47:52
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 16:47:53
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 16:47:54
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 16:47:55
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 16:47:55
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 16:47:56
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 16:47:57
VBASE026.VDF : 7.10.11.34 2048 Bytes 27.08.2010 16:47:57
VBASE027.VDF : 7.10.11.35 2048 Bytes 27.08.2010 16:47:57
VBASE028.VDF : 7.10.11.36 2048 Bytes 27.08.2010 16:47:57
VBASE029.VDF : 7.10.11.37 2048 Bytes 27.08.2010 16:47:57
VBASE030.VDF : 7.10.11.38 2048 Bytes 27.08.2010 16:47:57
VBASE031.VDF : 7.10.11.50 145920 Bytes 30.08.2010 16:47:58
Engineversion : 8.2.4.46
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.08.2010 16:48:12
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 30.08.2010 16:48:12
AESCN.DLL : 8.1.6.1 127347 Bytes 30.08.2010 16:48:10
AESBX.DLL : 8.1.3.1 254324 Bytes 30.08.2010 16:48:13
AERDL.DLL : 8.1.8.2 614772 Bytes 30.08.2010 16:48:10
AEPACK.DLL : 8.2.3.5 471412 Bytes 30.08.2010 16:48:09
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 30.08.2010 16:48:08
AEHEUR.DLL : 8.1.2.19 2867574 Bytes 30.08.2010 16:48:07
AEHELP.DLL : 8.1.13.3 242038 Bytes 30.08.2010 16:48:02
AEGEN.DLL : 8.1.3.20 397684 Bytes 30.08.2010 16:48:01
AEEMU.DLL : 8.1.2.0 393588 Bytes 30.08.2010 16:48:00
AECORE.DLL : 8.1.16.2 192887 Bytes 30.08.2010 16:48:00
AEBB.DLL : 8.1.1.0 53618 Bytes 30.08.2010 16:47:59
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:12
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:08
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:42
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:46
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:50
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:12
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:26
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:54
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:56
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:10
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 1. September 2010 18:42

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\explorer.exe
c:\WINDOWS\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'netzmanager.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '410' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Qoobox\Quarantine\C\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pubs.exe.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.pri
C:\System Volume Information\_restore{B84C4992-2AE7-4678-9ADE-61AFF385987D}\RP172\A0068192.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.pri
Beginne mit der Suche in 'E:\' <A_Daten>
Beginne mit der Suche in 'F:\' <B_Daten>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{B84C4992-2AE7-4678-9ADE-61AFF385987D}\RP172\A0068192.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.pri
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467f2856.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pubs.exe.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.pri
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ea60636.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 1. September 2010 19:25
Benötigte Zeit: 35:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7455 Verzeichnisse wurden überprüft
315900 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
315898 Dateien ohne Befall
1748 Archive wurden durchsucht
0 Warnungen
2 Hinweise
336181 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

Avira findet da Dateien, die wir mit CF unschädlich gemacht haben. Es waren aber auch Funde in der Systemwiederherstellung dabei und es werden versteckte, aber legitime Registryobjekte angezeigt.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


Danach Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne ,
hier ist der Report von Osam,
GMR hat immer sehr lange gedauert, und hat sich immer aufgehangen.
Es konnte nur durch einen Neustart beendet werden:

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 20:53:50 on 02.09.2010
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
|||| "GoogleUpdateTaskMachineUA.job" "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
|||| "Google Software Updater.job" "Google" C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "ac3filter.cpl" C:\WINDOWS\system32\ac3filter.cpl File exists
|||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\infocardcpl.cpl File exists
|||||| "ISUSPM.cpl" "Macrovision Corporation" C:\WINDOWS\system32\ISUSPM.cpl File exists
|||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS\system32\javacpl.cpl File exists
|||||| "wuaucpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\wuaucpl.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Avira AntiVir Personal" "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "Agere Systems Soft Modem" (AgereSoftModem) "Agere Systems" C:\WINDOWS\System32\DRIVERS\AGRSM.sys File exists
|||||| "Aspi32" (Aspi32) "Adaptec" C:\WINDOWS\system32\drivers\Aspi32.sys File exists
|||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\cofi\catchme.sys File not found
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
|||||| "epmntdrv" (epmntdrv) C:\WINDOWS\system32\epmntdrv.sys File found, but it contains no detailed information
|||||| "EuGdiDrv" (EuGdiDrv) C:\WINDOWS\system32\EuGdiDrv.sys File found, but it contains no detailed information
"i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
|||||| "MarxDev1" (MarxDev1) C:\WINDOWS\system32\drivers\MarxDev1.sys File exists
|||||| "MarxDev2" (MarxDev2) C:\WINDOWS\system32\drivers\MarxDev2.sys File exists
|||||| "MarxDev3" (MarxDev3) C:\WINDOWS\system32\drivers\MarxDev3.sys File exists
"MMRTKRNL" (MMRTKRNL) "ALCATech GmbH" C:\WINDOWS\System32\drivers\mmrtkrnl.sys File exists
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
|||||| "PxHelp20" (PxHelp20) "Sonic Solutions" C:\WINDOWS\System32\Drivers\PxHelp20.sys File exists
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
HKLM\Software\Classes\Protocols\Filter
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL File exists
|||||| {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL File exists
|||||| {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" "Skype Technologies" C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL File exists
|||| {828030A1-22C1-4009-854F-8E305202313F} "livecall" "Microsoft Corporation" C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL File exists
|||||| {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL File exists
|||| {828030A1-22C1-4009-854F-8E305202313F} "msnim" "Microsoft Corporation" C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" File not found | COM-object registry key not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists
|||||| {5F327514-6C5E-4d60-8F16-D07FA08A78ED} "Auto Update Property Sheet Extension" "Microsoft Corporation" C:\WINDOWS\system32\wuaucpl.cpl File exists
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Programme\Microsoft Office\OFFICE11\msohev.dll File exists
|||||| {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" "Microsoft Corporation" C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL File exists
|||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll File exists
|||||| {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" "Microsoft Corporation" C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
|||||| {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
ITBar7Height "ITBar7Height" File not found | COM-object registry key not found
"ITBar7Layout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_16.dll File exists
|||| {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_16.dll File exists
|||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_16.dll File exists
{A27C56D2-3F58-4ABB-AA31-1168EDA6636F} "PCMaticVer Class"
hxxp://utilities.pcpitstop.com/Nirvana/controls/pcmatic.cab "PC Pitstop" C:\WINDOWS\Downloaded Program Files\PCMaticCtrl.dll File exists
|||| {2EDF75C0-5ABD-49f9-BAB6-220476A32034} "System Requirements Lab Class"
hxxp://intel-drv-cdn.systemrequirementslab.com/multi/bin/sysreqlab_srlx.cab "Husdawg, LLC" C:\WINDOWS\Downloaded Program Files\sysreqlab_srlx.dll File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||| {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" "Microsoft Corporation" C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||||| {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" "Adobe Systems Incorporated" C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll File exists
|||| {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" "Google Inc." C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jp2ssv.dll File exists
|||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File exists
{10945114-b19f-4614-8450-b25e444a1020} "SparweltGutscheinAlarm.Sparwelt_Gutschein_Tool" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll File exists
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" File not found | COM-object registry key not found
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\desktop.ini File exists
"Netzmanager.lnk" "Deutsche Telekom AG" C:\Programme\Netzmanager\netzmanager.exe Shortcut exists | File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
|||||| "ccleaner" "Piriform Ltd" "C:\Programme\CCleaner\CCleaner.exe" /AUTO File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||||| "AGRSMMSG" "Agere Systems" AGRSMMSG.exe File exists
|||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists
Print Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
|||||| "Microsoft Document Imaging Writer Monitor" "Microsoft Corporation" C:\WINDOWS\system32\mdimon.dll File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
|||||| "a-squared Free Service" (a2free) "Emsi Software GmbH" C:\Programme\a-squared Free\a2service.exe File exists
|| "AAV UpdateService" (AAV UpdateService) C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe File exists
|||||| "Agere Modem Call Progress Audio" (AgereModemAudio) "Agere Systems" C:\WINDOWS\system32\agrsmsvc.exe File exists
|||||| "ASP.NET-Zustandsdienst" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "Automatische Updates" (wuauserv) "Microsoft Corporation" C:\WINDOWS\system32\wuauserv.dll File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists
|||| "Google Software Updater" (gusvc) "Google" C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe File exists
|||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
|||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jqs.exe File exists
|||| "Machine Debug Manager" (MDM) "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE File exists
"Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) "Deutsche Telekom AG" C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe File exists
|||||| "Office Source Engine" (ose) "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE File exists
|||||| "Process Monitor" (LVPrcSrv) "Logitech Inc." C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe File exists
|||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists
|||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
|||| "WgaLogon" "Microsoft Corporation" C:\WINDOWS\system32\WgaLogon.dll File exists

If You have questions or want to get some help, You can visit Online Solutions :: Index

Hallo ,

hier ist das logfile vom bootkit remover:

Bootkit Remover
(c) 2009 eSage Lab
esage lab - main
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;

Einen Gegencheck bitte:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,
here we are:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB9F49000 pcmcia.sys
0xBA0D8000 MountMgr.sys
0xB9F2A000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F12000 atapi.sys
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EF2000 fltMgr.sys
0xBA118000 PxHelp20.sys
0xB9EDB000 KSecDD.sys
0xB9E4E000 Ntfs.sys
0xB9E21000 NDIS.sys
0xB9E07000 Mup.sys
0xBA298000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB91AD000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xB9199000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9171000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9128000 \SystemRoot\system32\DRIVERS\yk51x86.sys
0xBA3D0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9104000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA3D8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA5C8000 \SystemRoot\system32\DRIVERS\FUJ02B1.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA3E0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA3E8000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA2B8000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA584000 \SystemRoot\system32\DRIVERS\serenum.sys
0xBA2C8000 \SystemRoot\system32\DRIVERS\smcirda.sys
0xBA588000 \SystemRoot\system32\DRIVERS\irenum.sys
0xB90F0000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA2D8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA2E8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA2F8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB90CD000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA5CA000 \SystemRoot\system32\DRIVERS\FUJ02E3.sys
0xBA594000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xBA707000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xBA308000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA59C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB90B6000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA318000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA138000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB90A4000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA148000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA400000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA408000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9074000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA158000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA168000 \SystemRoot\system32\drivers\mmrtkrnl.sys
0xBA5CC000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB8F76000 \SystemRoot\system32\DRIVERS\update.sys
0xB9DD7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA188000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA8943000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xA891F000 \SystemRoot\system32\drivers\portcls.sys
0xBA198000 \SystemRoot\system32\drivers\drmk.sys
0xA8802000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xBA5D0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA410000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA1B8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA574000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7F9000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5D2000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA430000 \SystemRoot\System32\drivers\vga.sys
0xBA5D4000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5D6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA438000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA440000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA578000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA877F000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA8726000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA86D6000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA86B0000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA868E000 \SystemRoot\System32\drivers\afd.sys
0xBA1D8000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA1E8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA448000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA8663000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA85F3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA1F8000 \SystemRoot\System32\Drivers\Fips.SYS
0xA8531000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5DA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA8E60000 \SystemRoot\System32\Drivers\Aspi32.SYS
0xBA248000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA8519000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA5E8000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA87DE000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA468000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6EA000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA83C4000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA835E000 \SystemRoot\system32\DRIVERS\irda.sys
0xA83F1000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xBA228000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xA8102000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA8025000 \SystemRoot\system32\drivers\wdmaud.sys
0xA822E000 \SystemRoot\system32\drivers\sysaudio.sys
0xA80EE000 \SystemRoot\System32\Drivers\MarxDev1.SYS
0xA80EA000 \SystemRoot\System32\Drivers\MarxDev2.SYS
0xA80DE000 \SystemRoot\System32\Drivers\MarxDev3.SYS
0xBA3B8000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xA7D84000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xA7C3D000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA370000 \SystemRoot\system32\DRIVERS\LVPr2Mon.sys
0xA77EC000 \SystemRoot\System32\Drivers\HTTP.sys
0xA73FB000 \SystemRoot\system32\DRIVERS\athw.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 45):
0 System Idle Process
4 System
716 C:\WINDOWS\system32\smss.exe
772 csrss.exe
796 C:\WINDOWS\system32\winlogon.exe
840 C:\WINDOWS\system32\services.exe
852 C:\WINDOWS\system32\lsass.exe
1040 C:\WINDOWS\system32\svchost.exe
1108 svchost.exe
1148 C:\WINDOWS\system32\svchost.exe
1300 svchost.exe
1328 svchost.exe
1548 C:\WINDOWS\system32\spoolsv.exe
1604 C:\Programme\Avira\AntiVir Desktop\sched.exe
1668 svchost.exe
1996 C:\WINDOWS\explorer.exe
160 C:\Programme\a-squared Free\a2service.exe
180 C:\WINDOWS\AGRSMMSG.exe
188 C:\WINDOWS\RTHDCPL.EXE
216 C:\WINDOWS\system32\hkcmd.exe
220 C:\WINDOWS\system32\igfxpers.exe
252 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
284 C:\WINDOWS\system32\igfxsrvc.exe
464 C:\Programme\Netzmanager\netzmanager.exe
520 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
540 C:\WINDOWS\system32\agrsmsvc.exe
548 C:\Programme\Avira\AntiVir Desktop\avguard.exe
680 C:\Programme\Gemeinsame Dateien\logishrd\LVMVFM\LVPrcSrv.exe
748 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
776 C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
1172 C:\WINDOWS\system32\svchost.exe
1840 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2208 wmiprvse.exe
2600 alg.exe
3972 PresentationFontCache.exe
2420 C:\WINDOWS\system32\wuauclt.exe
2068 C:\Programme\Mozilla Firefox\firefox.exe
1584 C:\Programme\Mozilla Firefox\plugin-container.exe
2744 C:\WINDOWS\system32\notepad.exe
1212 C:\Programme\_Antivir\osam.exe
452 C:\Programme\7-Zip\7zFM.exe
3364 C:\WINDOWS\system32\cmd.exe
3132 C:\Programme\_Antivir\Bootkit Remover\bootkit_remover.exe
984 C:\WINDOWS\system32\notepad.exe
3040 C:\Dokumente und Einstellungen\user\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000006`21570000 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000000c`61908000 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHV2080BH, Rev: 00000029

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,
hier erstmal Malwarebyte, später gleich der andere log:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4534

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.09.2010 14:41:21
mbam-log-2010-09-03 (14-41-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 183241
Laufzeit: 30 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


sieht doch erstmal ganz gut aus

So, hier nun der log von Superantispyware:

SUPERAntiSpyware Scann-Protokoll
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generiert 09/03/2010 bei 03:41 PM

Version der Applikation : 4.42.1000

Version der Kern-Datenbank : 5449
Version der Spur-Datenbank : 3261

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:45:40

Gescannte Speicherelemente : 570
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6962
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 57551
Erfasste Datei-Elemente : 0
-------------

Sieht auch ganz gut aus.
Bin ich wieder gesund ?

1000 dank

Gruß olaf

Sieht ok aus
Noch Probleme oder weitere Funde in der Zwischenzeit?