Trojaner-Board - TR/Crypt.XPACK.Gen2 auch noch nach Malwarescan aktiv

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Crypt.XPACK.Gen2 auch noch nach Malwarescan aktiv (https://www.trojaner-board.de/91583-tr-crypt-xpack-gen2-noch-malwarescan-aktiv.html)

TR/Crypt.XPACK.Gen2 auch noch nach Malwarescan aktiv

Hallo,

Antivir meldet ständig:
C:\Windows\ehoqoqiw.dll ist das Trojanische Pferd TR/Crypt.XPACK.Gen2.

Und der Firefox funktioniert auch nicht mehr :heulen:

Habe schon hier im Forum einige Themen diesbezüglich gelesen, doch scheint mir die Vorgehensweise ziemlich individuell und nun will ich nicht einfach etwas kopieren und dadurch verschlimmbesser.

Habe Maleware geladen, aktualisiert und schon 2 x laufen lassen. Die Ergebnisse gelöscht, doch nach jedem Neustart kommt immer noch die oben genannte Warnmeldung. Was kann ich nun noch tun?

Danke für jede Hilfe!

Hi,

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

Wenn kein 64-Bitsystem:
Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Ps. Bin jetzt erst mal wech.....

Ist ein 32-BitSystem.

Habe mir wie in der Anleitung beschrieben GMER runtergeladen und alle Anwendungen geschlossen. Antivir ebenso deaktiviert und dann die Exe vom Desktop aus gestartet. Der Scan startet und dann schließt sich das Fenster einfach ohne Meldung oder Möglichkeit, irgendwelche Fenster, Reiter oder Logfiles auszuwählen.
Also im abgesicherten Modus ausprobiert doch mit dem selben negativen Ergebnis.:heulen:

Hier die OTL.TXT:OTL Logfile:

Code:

OTL logfile created on: 08.10.2010 13:01:01 - Run 2

OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 90,00% Memory free

5,00 Gb Paging File | 5,00 Gb Available in Paging File | 99,00% Paging File free

Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 20,00 Gb Total Space | 2,93 Gb Free Space | 14,63% Space Free | Partition Type: NTFS

Drive D: | 50,00 Gb Total Space | 43,57 Gb Free Space | 87,14% Space Free | Partition Type: NTFS

Drive E: | 50,00 Gb Total Space | 37,63 Gb Free Space | 75,27% Space Free | Partition Type: NTFS

Drive F: | 102,89 Gb Total Space | 59,34 Gb Free Space | 57,67% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

Drive I: | 10,00 Gb Total Space | 0,97 Gb Free Space | 9,66% Space Free | Partition Type: NTFS

 

Computer Name: ROMAN

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: SafeMode

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 1 Day

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (MSSQL$ACROSS) SQL Server (ACROSS) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)

SRV - (SQLBrowser) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)

SRV - (MSSQLServerADHelper) -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)

SRV - (AAV UpdateService) -- D:\Programme\AAVUpdateManager\aavus.exe ()

SRV - (O&O Defrag) -- C:\WINDOWS\system32\oodag.exe (O&O Software GmbH)

SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)

DRV - (HPFXBULK) -- C:\WINDOWS\system32\drivers\hpfxbulk.sys (Hewlett Packard)

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (ATIAVAIW) -- C:\WINDOWS\system32\drivers\atinavt2.sys (ATI Technologies Inc.)

DRV - (ULI5261XP) -- C:\WINDOWS\system32\drivers\ULILAN51.SYS (ULi Electronics Inc.)

DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)

DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)

DRV - (atapi) -- C:\WINDOWS\system32\DRIVERS\atapi.sys ()

DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)

DRV - (a347bus) -- C:\WINDOWS\system32\DRIVERS\a347bus.sys ( )

DRV - (a347scsi) -- C:\WINDOWS\System32\Drivers\a347scsi.sys ( )

DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)

DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

 

FF - HKLM\software\mozilla\Firefox\extensions\\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F}: C:\Dokumente und Einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F} [2010.09.28 14:27:02 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.01 09:51:33 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.01 10:49:26 | 000,000,000 | ---D | M]

 

[2007.05.05 20:31:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\uh87lj6j.default\extensions

[2010.10.04 21:35:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.10.01 10:49:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2010.09.14 23:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.09.14 23:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.09.14 23:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.09.14 23:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.09.14 23:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2001.08.18 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [Gmebizazizazizaz] C:\WINDOWS\ehoqoqiw.DLL (VoLT, 2010)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PartyPoker\PartyPoker\RunApp.exe File not found

O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PartyPoker\PartyPoker\RunApp.exe File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop BackupWallPaper: 

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007.02.09 17:24:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2010.02.13 15:23:08 | 000,206,972 | ---- | M] () - F:\AUTO.pat -- [ NTFS ]

O32 - AutoRun File - [2010.02.13 15:23:08 | 000,247,040 | ---- | M] () - F:\AUTO.pst -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O36 - AppCertDlls: conv2bin - (C:\WINDOWS\system32\rshdump.dll) - C:\WINDOWS\System32\rshdump.dll File not found

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 1 Day ==========

 

[2010.10.08 12:26:38 | 000,576,512 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe

[2010.10.08 10:45:59 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.10.08 10:45:56 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.10.08 10:45:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2007.06.08 13:02:39 | 000,774,144 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RngInterstitial.dll

[2007.02.09 19:22:13 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys

[2007.02.09 19:22:13 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 1 Day ==========

 

[2010.10.08 12:49:01 | 000,786,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT

[2010.10.08 12:25:48 | 000,576,512 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe

[2010.10.08 12:20:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.10.08 12:20:06 | 000,740,595 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor

[2010.10.08 12:19:22 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.10.08 12:18:05 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.10.08 12:14:54 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\r86vdk58.exe

[2010.10.08 12:00:25 | 001,110,306 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.10.08 12:00:25 | 000,467,880 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.10.08 12:00:25 | 000,452,404 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.10.08 12:00:25 | 000,094,060 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.10.08 12:00:25 | 000,080,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.10.08 11:56:12 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.10.08 11:32:52 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Xlihayiyohuy.bin

[2010.10.08 10:46:01 | 000,000,559 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.10.08 10:32:36 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.10.08 12:21:22 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\r86vdk58.exe

[2010.10.08 10:46:01 | 000,000,559 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.03.21 21:24:02 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

[2009.07.04 08:31:38 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll

[2008.06.28 16:26:08 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2008.06.28 16:26:08 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2008.04.13 07:18:16 | 000,000,104 | ---- | C] () -- C:\WINDOWS\wiso.ini

[2007.05.16 22:08:50 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll

[2007.04.03 21:29:28 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS7M.DLL

[2007.02.28 13:16:52 | 000,000,016 | ---- | C] () -- C:\WINDOWS\wininit.ini

[2007.02.12 18:56:14 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2007.02.10 03:16:15 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

[2007.02.09 18:40:08 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys

[2007.02.09 17:59:48 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll

[2007.02.09 17:34:23 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll

[2007.02.09 17:33:44 | 000,004,223 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini

[2007.02.09 17:33:42 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS

[2004.08.04 00:57:22 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll

[2004.08.03 22:59:44 | 000,095,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\atapi.sys

[2004.07.17 11:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys

< End of report >

--- --- ---

Und hier die Extra.TXT dazu:OTL EXTRAS Logfile:

Code:

OTL Extras logfile created on: 08.10.2010 13:01:01 - Run 2

OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 90,00% Memory free

5,00 Gb Paging File | 5,00 Gb Available in Paging File | 99,00% Paging File free

Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 20,00 Gb Total Space | 2,93 Gb Free Space | 14,63% Space Free | Partition Type: NTFS

Drive D: | 50,00 Gb Total Space | 43,57 Gb Free Space | 87,14% Space Free | Partition Type: NTFS

Drive E: | 50,00 Gb Total Space | 37,63 Gb Free Space | 75,27% Space Free | Partition Type: NTFS

Drive F: | 102,89 Gb Total Space | 59,34 Gb Free Space | 57,67% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

Drive I: | 10,00 Gb Total Space | 0,97 Gb Free Space | 9,66% Space Free | Partition Type: NTFS

 

Computer Name: ROMAN

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: SafeMode

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 1 Day

Output = Minimal

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

http [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" File not found

https [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" File not found

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

"6112:TCP" = 6112:TCP:*:Enabled:warcraft3 - the frozen throne

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"D:\Programme\mIRC\mirc.exe" = D:\Programme\mIRC\mirc.exe:*:Enabled:mIRC -- File not found

"D:\Programme\Trillian\trillian.exe" = D:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)

"E:\Downloads\utorrent161.exe" = E:\Downloads\utorrent161.exe:*:Enabled:µTorrent -- File not found

"D:\Programme\Mozilla Firefox\firefox.exe" = D:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- File not found

"F:\Wc3\Frozen Throne.exe" = F:\Wc3\Frozen Throne.exe:*:Enabled:Frozen Throne -- File not found

"D:\Programme\Hamachi\hamachi.exe" = D:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi -- (LogMeIn Inc.)

"C:\WINDOWS\system32\dplaysvr.exe" = C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper -- (Microsoft Corporation)

"F:\Age of Empires 2\age2_x1\age2_x1.exe" = F:\Age of Empires 2\age2_x1\age2_x1.exe:*:Enabled:Age of Empires II Expansion -- (Microsoft Corporation)

"F:\Call of Duty 2\CoD2MP_s.exe" = F:\Call of Duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s -- File not found

"D:\Programme\SopCast\SopCast.exe" = D:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- File not found

"D:\Programme\SopCast\adv\SopAdver.exe" = D:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- File not found

"D:\Programme\TVAnts\Tvants.exe" = D:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts -- File not found

"D:\Programme\TVUPlayer\TVUPlayer.exe" = D:\Programme\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component -- File not found

"E:\Across\Across\Across.exe" = E:\Across\Across\Across.exe:*:Enabled:across application -- (Across Systems GmbH)

"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator

"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center

"{143BE018-D8F8-4014-8CB6-AF63F5799D21}" = ULi LAN Driver

"{255E0D2A-6AC9-40CB-8F5E-84C8FD7E9DA9}" = hppscanCM1312

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 21

"{2A09274B-98DE-CB96-1EE9-2436A0D37480}" = CCC Help English

"{2AFFFDD7-ED85-4A90-8C52-5DA9EBDC9B8F}" = Microsoft SQL Server 2005 Express Edition (ACROSS)

"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3C38D421-BC10-4C08-92AB-6C0C8D834275}" = Across Personal Edition

"{46697B13-FCD5-7BC4-78C4-49FE0D60A00B}" = Catalyst Control Center Graphics Light

"{484A13AB-A4C1-41FD-87E0-EBE2DA01250E}" = hppSendFaxCM1312

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{52A69E11-7CEB-4a7d-9607-68BA4F39A89B}" = DeviceDiscovery

"{53480370-6CA2-47EC-BC05-02B4B9271C31}" = O&O Defrag Professional Edition

"{53F5C3EE-05ED-4830-994B-50B2F0D50FCE}" = Microsoft SQL Server Setup Support Files (English)

"{56192D4B-DB85-7029-6E77-E1505FBD5173}" = Catalyst Control Center Core Implementation

"{56B4002F-671C-49F4-984C-C760FE3806B5}" = Microsoft SQL Server VSS Writer

"{583EDB12-4CEA-48B5-A7BA-88069DD47BA2}" = hppQFolderCM1312

"{5ACA9227-30FC-0DFE-B74F-C106F36A50B6}" = Catalyst Control Center Graphics Previews Common

"{5ACE69F0-A3E8-44eb-88C1-0A841E700180}" = TrayApp

"{5DF72004-F4A7-6AA2-0552-F7737199491E}" = ccc-core-static

"{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm

"{74379B6F-C173-F80E-5E3E-6A5F3E523DEC}" = Catalyst Control Center Graphics Full Existing

"{77F45E76-E897-42CA-A9FE-5F56817D875C}" = Locomotion

"{78CC3BAB-DE2A-4FB4-8FBB-E4DADDC26747}" = Ad-Aware SE Personal

"{7985C7FA-B151-4BA7-B19E-1577A7B527F1}" = hppFaxDrvCM1312

"{80533B67-C407-485D-8B5D-63BB8ED9D878}" = Scan

"{80BA9DC6-D628-4752-A1C3-15349C71BB42}" = hppManualsCM1312

"{84ACBCA0-E149-4830-97E6-107D70D9CA0A}" = WISO Steuer 2008

"{8EEDB90E-6ABC-42bb-AD4C-39DEE05E3EEA}" = HP Color LaserJet CM1312 MFP Series 5.0

"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{987F2E66-35EC-D7CC-02E0-6F7094D35B71}" = ccc-core-preinstall

"{995F2783-8311-49BF-833E-DB659774B4F6}" = hppFonts

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9DE3F260-B88E-42CE-90E7-73C78C37D95E}" = 32 Bit HP BiDi Channel Components Installer

"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser

"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable

"{A925C778-5E00-477D-A282-B772C9E76DC7}" = hppScanToCM1312

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder

"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch

"{B330C431-CDF4-E40D-A9E9-FF275A47AB7E}" = Catalyst Control Center Graphics Full New

"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008

"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player

"{BD68F46D-8A82-4664-8E68-F87C55BDEFD4}" = Microsoft SQL Server Native Client

"{BF638E12-90F1-443D-B93F-51BCCFD487BA}" = hppCLJCM1312

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg

"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"{D29E46AC-B703-5A56-A795-12FB8E6C5DFC}" = Skins

"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010

"{D99A8E3A-AE5A-4692-8B19-6F16D454E240}" = Destination Component

"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager

"{E3EC0A0D-3FA5-9175-F81C-BDD77FC1A087}" = ccc-utility

"{E9F81423-211E-46B6-9AE0-38568BC5CF6F}" =             

"{ECDC2BC0-0449-48EA-9EBA-95048591DA17}" = hppFaxUtilityCM1312

"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth

"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio

"{FEB690DE-045C-4FAF-A6A6-4DC7376E24EE}" = Tippfix1_1

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11

"All ATI Software" = ATI - Software Uninstall Utility

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20

"Hamachi" = Hamachi 1.0.1.5

"Hattrick Organizer" = Hattrick Organizer (remove only)

"HP Imaging Device Functions" = HP Imaging Device Functions 10.0

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)

"Rossmann Fotoservice_is1" = Rossmann Fotoservice 2.6

"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4

"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2

"VLC media player" = VideoLAN VLC media player 0.8.6a

"Winamp" = Winamp

"Windows Media Format Runtime" = Windows Media Format Runtime

"WinRAR archiver" = WinRAR Archivierer

"Xvid_is1" = Xvid 1.1.3 final uninstall

"Zak McKracken - Between Time and Space" = Zak McKracken - Between Time and Space

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 08.10.2010 05:18:06 | Computer Name = ROMAN | Source = Google Update | ID = 20

Description = 

 

Error - 08.10.2010 06:18:05 | Computer Name = ROMAN | Source = Google Update | ID = 20

Description = 

 

[ System Events ]

Error - 08.10.2010 06:21:52 | Computer Name = ROMAN | Source = Service Control Manager | ID = 7001

Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,

 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

 

Error - 08.10.2010 06:21:52 | Computer Name = ROMAN | Source = Service Control Manager | ID = 7001

Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,

 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

 

Error - 08.10.2010 06:21:52 | Computer Name = ROMAN | Source = Service Control Manager | ID = 7001

Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,

 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

 

Error - 08.10.2010 06:21:52 | Computer Name = ROMAN | Source = Service Control Manager | ID = 7001

Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,

 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

 

Error - 08.10.2010 06:21:52 | Computer Name = ROMAN | Source = Service Control Manager | ID = 7026

Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:

   AFD  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  Processor  RasAcd  Rdbss  Tcpip

 

Error - 08.10.2010 06:26:28 | Computer Name = ROMAN | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 08.10.2010 06:26:28 | Computer Name = ROMAN | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 08.10.2010 06:48:57 | Computer Name = ROMAN | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 08.10.2010 06:49:07 | Computer Name = ROMAN | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 08.10.2010 07:01:36 | Computer Name = ROMAN | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

 

< End of report >

--- --- ---

Hi,

das gefällt mir nicht, da war ein Banker/Passwort-Spy drauf...
Sofort von einem sauberen Rechner aus alle Passwörter ändern...

Bereinigungsvorlage
--------------------

OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:OTL

O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PartyPoker\PartyPoker\RunApp.exe File not found

O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PartyPoker\PartyPoker\RunApp.exe File not found

O32 - AutoRun File - [2010.02.13 15:23:08 | 000,206,972 | ---- | M] () - F:\AUTO.pat -- [ NTFS ]

O32 - AutoRun File - [2010.02.13 15:23:08 | 000,247,040 | ---- | M] () - F:\AUTO.pst -- [ NTFS ]

O36 - AppCertDlls: conv2bin - (C:\WINDOWS\system32\rshdump.dll) - C:\WINDOWS\System32\rshdump.dll File not found

[2010.10.08 11:32:52 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Xlihayiyohuy.bin
 

:Commands

[purity]

[resethosts]

[emptytemp]

[CREATERESTOREPOINT]

[EMPTYFLASH]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Autsch, das ist ja fast der worstcase :pfui:

Woran hast du das denn erkannt? Ich habe hier ja noch den Laptop, der mir derzeit (noch?) nicht diese Trojanermeldung bringt, doch woher weiß ich denn, dass dieses System nun zum Ändern der Passwörter eignet?

Danke für die schnelle Hilfe!

Hier die Results nach dem ersten Bereinigungsschritt mit deinem OTL-Code:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
F:\AUTO.pat moved successfully.
F:\AUTO.pst moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\conv2bin:C:\WINDOWS\system32\rshdump.dll deleted successfully.
C:\WINDOWS\Xlihayiyohuy.bin moved successfully.
========== COMMANDS ==========
C:\Dokumente und Einstellungen\billistdoof\Eigene Dateien\ѕystem folder moved successfully.
C:\Dokumente und Einstellungen\billistdoof\Anwendungsdaten\Мicrosoft.NET folder moved successfully.
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 3371 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 8166691 bytes
->Flash cache emptied: 348 bytes

User: All Users

User: billistdoof
->Temp folder emptied: 320151181 bytes
->Temporary Internet Files folder emptied: 10535085 bytes
->Java cache emptied: 43443257 bytes
->FireFox cache emptied: 39207817 bytes
->Flash cache emptied: 131397 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 12118713 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 32768 bytes
->Temporary Internet Files folder emptied: 14400499 bytes
->Flash cache emptied: 1536 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 116522390 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 541,00 mb

Restore point Set: OTL Restore Point (0)

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 0 bytes

User: All Users

User: billistdoof
->Flash cache emptied: 0 bytes

User: Default User

User: LocalService

User: NetworkService
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.14.1 log created on 10092010_084232

Files\Folders moved on Reboot...
File move failed. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\Perflib_Perfdata_708.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Und hier der ComboFix Durchlauf:

Combofix Logfile:

Code:

ComboFix 10-10-07.01 - billistdoof 09.10.2010   9:16.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2543.2188 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\billistdoof\Desktop\ComboFix.exe
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F}

c:\dokumente und einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F}\chrome.manifest

c:\dokumente und einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F}\chrome\content\_cfg.js

c:\dokumente und einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F}\chrome\content\overlay.xul

c:\dokumente und einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\{6FCA6C84-C0B3-40FD-BB34-B544ECC7781F}\install.rdf

c:\windows\ehoqoqiw.dll

c:\windows\system32\spool\prtprocs\w32x86\CNMPD7M.DLL

c:\windows\system32\spool\prtprocs\w32x86\CNMPP7M.DLL
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-09 bis 2010-10-09  ))))))))))))))))))))))))))))))

.
 

2010-10-09 07:06 . 2010-10-09 07:06        0        ----a-w-        c:\windows\Xlihayiyohuy.bin

2010-10-09 06:42 . 2010-10-09 06:42        --------        d-----w-        C:\_OTL

2010-10-08 08:46 . 2010-10-08 08:46        --------        d-----w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Malwarebytes

2010-10-08 08:45 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-08 08:45 . 2010-10-08 08:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-10-08 08:45 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-01 08:49 . 2010-10-01 08:49        503808        ----a-w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3638bd4a-n\msvcp71.dll

2010-10-01 08:49 . 2010-10-01 08:49        499712        ----a-w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3638bd4a-n\jmc.dll

2010-10-01 08:49 . 2010-10-01 08:49        348160        ----a-w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3638bd4a-n\msvcr71.dll

2010-10-01 08:49 . 2010-10-01 08:49        61440        ----a-w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-69f27243-n\decora-sse.dll

2010-10-01 08:49 . 2010-10-01 08:49        12800        ----a-w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-69f27243-n\decora-d3d.dll

2010-10-01 08:49 . 2010-07-17 03:00        423656        ----a-w-        c:\windows\system32\deployJava1.dll

2010-09-28 12:35 . 2010-09-28 12:35        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData

2010-09-28 12:27 . 2010-10-01 07:43        120        ----a-w-        c:\windows\Mmapehib.dat

2010-09-28 12:23 . 2004-08-03 22:58        25088        ----a-w-        c:\windows\system32\stu2.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-09 07:18 . 2001-08-18 12:00        94060        ----a-w-        c:\windows\system32\perfc007.dat

2010-10-09 07:18 . 2001-08-18 12:00        467880        ----a-w-        c:\windows\system32\perfh007.dat

2010-10-08 09:22 . 2010-05-31 17:15        --------        d-----w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Vikaos

2010-10-08 09:22 . 2010-04-06 22:06        --------        d-----w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Asmu

2010-10-04 19:28 . 2007-02-28 13:54        --------        d-----w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Skype

2010-10-01 08:49 . 2007-02-12 01:13        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2010-10-01 08:49 . 2010-01-22 13:05        --------        d-----w-        c:\programme\Java

2010-09-10 12:56 . 2008-12-13 10:20        188346        ----a-w-        c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\mdbu.bin

2010-08-10 18:17 . 2010-08-10 18:17        6884        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\15\UpdateFiles\SSEStandard_Patch_15.12.bat

2007-06-08 11:02 . 2007-06-08 11:02        774144        ----a-w-        c:\programme\RngInterstitial.dll

.
 

------- Sigcheck -------
 

[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\atapi.sys

[-] 2004-08-03 18:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
 

[-] 2004-08-09 . 7B11118B078B88F87183FE69EDA43137 . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0OODBS
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]

2007-05-18 01:50        26112        ----a-w-        c:\windows\system32\Ati2mdxx.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

2004-07-27 16:01        68096        ----a-w-        c:\windows\SOUNDMAN.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

2005-05-30 23:04        1415824        ----a-w-        d:\programme\Spybot - Search & Destroy\TeaTimer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

2006-11-10 10:35        90112        ----a-w-        c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programme\\Trillian\\trillian.exe"=

"d:\\Programme\\Hamachi\\hamachi.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"f:\\Age of Empires 2\\age2_x1\\age2_x1.exe"=

"e:\\Across\\Across\\Across.exe"=

"d:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6112:TCP"= 6112:TCP:warcraft3 - the frozen throne
 

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [09.02.2007 19:22 160640]

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [09.02.2007 19:22 5248]

R2 AAV UpdateService;AAV UpdateService;d:\programme\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]

R2 MSSQL$ACROSS;SQL Server (ACROSS);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [24.11.2008 22:31 29263712]

R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [09.02.2007 17:34 28672]

S?2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [14.03.2010 22:03 135664]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-14 20:03]
 

2010-10-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-14 20:03]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://owa.ezag.de/CookieAuth.dll?GetLogon?reason=0&formdir=1&curl=Z2Fowa

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\billistdoof\Anwendungsdaten\Mozilla\Firefox\Profiles\b3iminv1.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.hattrick.org/

FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll

FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
 

---- FIREFOX Richtlinien ----

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-Gmebizazizazizaz - c:\windows\ehoqoqiw.dll

MSConfigStartUp-WinampAgent - d:\programme\Winamp\winampa.exe

MSConfigStartUp-WinDVR SchSvr - c:\programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe

AddRemove-EVEREST Home Edition_is1 - d:\programme\Lavalys\EVEREST Home Edition\unins000.exe

AddRemove-Hattrick Organizer - d:\programme\HattrickOrganizer\Uninstall.exe
 
 
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8AB03EC5]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xba8ecfc3

\Driver\ACPI -> ACPI.sys @ 0xba756cb8

\Driver\atapi -> 0x8a92c820

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44

 ParseProcedure -> ntkrnlpa.exe @ 0x80576964

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44

 ParseProcedure -> ntkrnlpa.exe @ 0x80576964

NDIS: ULi PCI Fast Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xba5ddba0

 PacketIndicateHandler -> NDIS.sys @ 0xba5cca0b

 SendHandler -> NDIS.sys @ 0xba5e0b31

Warning: possible MBR rootkit infection !

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG08.00.00.01WORKSTATION"="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"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(684)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\oodag.exe

c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-10-09  09:23:34 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-10-09 07:23
 

Vor Suchlauf: 3.675.467.776 Bytes frei

Nach Suchlauf: 3.638.202.368 Bytes frei
 

- - End Of File - - 9BB3D38B4BCF34C0D513D658FE83EB2C

--- --- ---

So, der Trojaner samt Rootkit scheinen nun weg zu sein. Doch beim Starten des Systems braucht er ziemlich lange und es erscheint anfänglich auch der Hinweis, dass Antivir deaktiviert und die Windowsfirewall nicht aktiv ist. Nach ca. 1 Minute rattert dann die Festplatte und die Firewall samt Antivir sind aktiv. Das ist doch auch nicht gut oder? In der "ungeschützten" Zeit kann doch ganz leicht wieder etwas auf den Rechner gelangen?!

Hm...nun hat Antivir den nächsten Fund:

TR/Dldr.Sinmis.A.25 :headbang:

Und in E:\System Volume Information\...\A0112603.exe hat Antivir noch einen Fund: TR/Trash.Gen

Lade Dir Malwarebytes Anti-Malware herunter und installiere es.

Nach der Installation bitte updaten, danach einen vollständigen Scan ausführen, die gefundenen Ergebnisse "alle entfernen" und dann das Logfile hier posten.

Edit: Falls Du noch Fragen zu Malwarebytes hast, klick in meine Notiz unter dem Punkt "Malwarebytes" und Du siehst eine ausführliche Anleitung.

Malware findet leider gar nix?!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4773

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

09.10.2010 15:14:26
mbam-log-2010-10-09 (15-14-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 254901
Laufzeit: 37 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hi,

da hat sich was zusammengebraut, was CF matt setzt...
Er kommt nicht an die atapi.sys ran... GMER meldet MBR-Rookitverdacht und auch die Meldungen von GMER bezogen auf die Treiber sind verdächtig...
Sieht nach einer neuen Version aus...

Welchem rücken wir jetzt zuerst auf den Pelz...
Das kann jetzt gefährlich werden, Backup vorhanden?

Ausserdem gibt es eine kleine Rüge, weil kein SP3 drauf ist!

Versuchen wir unser Glück mit dem TDSS-Killer, das müssen wir ggf. später wiederholen...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.

Vista und Win7 User mit Rechtsklick "als Administrator starten"

Das Tool braucht nur eine Sekunde.

Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

Die Spannung steigt...

chris

sorry, ich weiss, dass man hier nicht auf fremde beiträge anworten soll, aber ich habe den selben trojaner auf meinem rechner und nach deinen feststellungen krieg ich langsam angst.. kannst du (sofern du zeit hast) mein olt und so ansehen? lieben gruss, r