Trojaner-Board - Viren eingefangen, bitte um Hilfe.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Viren eingefangen, bitte um Hilfe. (https://www.trojaner-board.de/93747-viren-eingefangen-bitte-um-hilfe.html)

Viren eingefangen, bitte um Hilfe.

Ich habe folgendes problem:

Ich habe mir irgentwann einen Virus (schätze ich jetzt mal) eingefangen und werde ihn nichtmehr los.
Beim Rechnerstart öffnen sich ca 4-5 kleine schwarze cmd Fenster die auch nach 2 Sekunden wieder weggehen dazu bekomme ich beim Start immer irgentwelche svchost.exe fehler.
Zudem komme ich nichtmehr auf seiten wie kaspersky, norton, avast oder andere Antiviren Websites. Was mir besonders auffällt ist das von hier auf da Regelmäßig meine Webcam angeht (merke ich an dem lämpchen an der cam) und jetzt gerade vor 1 Minute kahm das:

Habe dann vor dem Post diese Anleitung befolgt da sie in den Goldenen Regeln Stand: http://www.trojaner-board.de/89918-l...e-larusso.html

hab es bis Schritt 4 befolgt. Als das mit gmer.exe kahm hat er im scan Ein problem festgestellt und muste beendet werden. darauf hin sofort Bluescreen.

da ich verunsichert war habe ich mit der anleitung nicht weitergemacht
Malwarebites Log:

Code:

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org
 

Datenbank Version: 5309
 

Windows 6.0.6002 Service Pack 2

Internet Explorer 7.0.6002.18005
 

13.12.2010 23:40:27

mbam-log-2010-12-13 (23-40-27).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 140126

Laufzeit: 3 Minute(n), 4 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 8

Infizierte Registrierungswerte: 7

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 13
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{CQ30XW87-638E-SQ0K-SRE5-N4I27042LR7X} (Backdoor.SpyNet) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CQ30XW87-638E-SQ0K-SRE5-N4I27042LR7X} (Backdoor.SpyNet) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{CQ30XW87-638E-SQ0K-SRE5-N4I27042LR7X} (Backdoor.SpyNet) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{3KO58O2X-OIAO-0208-JLII-V238LUM28LIR} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3KO58O2X-OIAO-0208-JLII-V238LUM28LIR} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{51SW6ENN-P584-25G0-1DX4-38T8MSFT6UGO} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{51SW6ENN-P584-25G0-1DX4-38T8MSFT6UGO} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\820598175_225.exe (Heuristics.Shuriken) -> Value: 820598175_225.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\903400042_225.exe (Heuristics.Shuriken) -> Value: 903400042_225.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent) -> Value: Policies -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvdisp (Trojan.Agent) -> Value: nvdisp -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent) -> Value: Policies -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\atidisp (Trojan.Agent) -> Value: atidisp -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> Value: services -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

d:\Users\andreas l\AppData\Local\Temp\820598175_225.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Local\Temp\903400042_225.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

d:\Windows\System32\0A997.tmp (Worm.Conficker) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Local\Temp\63484.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Local\Temp\25836.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Local\Temp\Original.exe (Trojan.Agent) -> Quarantined and deleted successfully.

d:\Users\andreas l\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.

d:\Users\andreas l\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.

d:\Windows\install\server.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.

d:\Windows\System32\System\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

d:\INSTALL\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Hier von defogger disable:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:45 on 13/12/2010 (Andreas L)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed
HKCU:AlcoholAutomount -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

Weitere Symptome sind mir bisher nicht bekannt.
Danke schonmal im Voraus
Laudi01

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

danke für die antwort scanne grade mit malwarbytes kann etwas dauern.

ich habe auf viele seiten wie avira, kaspersky, microsoft und einige andere seiten keinen zugriff. firefox sagt immer server nicht gefunden.

vermutlich conficker B oder C?

sehe da nix mit output bei otl..

sry meine englischkenntnisse sind nicht sehr hoch. könntest du mir das genauer erklären?

//edit

habs gefunden xD muss mal döppen aufmachen. so scanne nun poste gleich die logs rein

So hier die 3 logs

tut sich der conficker auch über das wlan netzwerk auf alle anderen rechner die angeschlossen sind übertragen?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

SRV - (ghpyg) --  File not found

O4 - HKLM..\Run: [javasvr.exe] D:\Users\Andreas L\AppData\Roaming\javasvr.exe (Microsoft Corporation)

O4 - HKCU..\Run: [225.exe] D:\Users\Andreas L\AppData\Local\Temp\225.exe File not found

O4 - HKCU..\Run: [CCleaner.exe] D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD\0.0.0.0\CCleaner.exe ()

O4 - HKCU..\Run: [javasvr.exe] D:\Users\Andreas L\AppData\Roaming\javasvr.exe (Microsoft Corporation)

O4 - HKCU..\Run: [KPeerNexonEU] D:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe (NEXON Inc.)

O4 - HKCU..\Run: [WindowsWelcomeCenter] D:\Windows\System32\oobefldr.dll (Microsoft Corporation)

O4 - HKCU..\Run: [WMPNSCFG] D:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)

O4 - HKCU..\Run: [younex.exe] D:\Users\Andreas L\AppData\Local\Temp\younex.exe (TQnJhnj)

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\Shell - "" = AutoRun

O33 - MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\Shell\AutoRun\command - "" = N:\pushinst.exe -- File not found

O33 - MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\Shell - "" = AutoRun

O33 - MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\Shell\AutoRun\command - "" = N:\setup\rsrc\Autorun.exe -- File not found

O33 - MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\Shell\dinstall\command - "" = N:\Directx\dxsetup.exe -- File not found

O33 - MountPoints2\K\Shell - "" = AutoRun

O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\pushinst.exe -- File not found

[2010.12.11 03:29:47 | 000,000,000 | ---D | C] -- D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD

[2010.12.10 18:04:43 | 000,000,000 | ---D | C] -- D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP

[2010.12.10 08:52:11 | 000,729,088 | ---- | C] (Indigo Rose Corporation) -- D:\Windows\iun6002.exe

[2010.09.03 21:42:20 | 000,155,633 | RHS- | C] () -- D:\Windows\System32\kctoqj.dll

@Alternate Data Stream - 133 bytes -> D:\ProgramData\TEMP:05EE1EEF

:Files

D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

woow du hast es echt drauf danke. kann de seiten wieder aufrufen. ansonsten keine symptome mehr bist nen echter lebensretter

Code:

All processes killed

========== OTL ==========

Service ghpyg stopped successfully!

Service ghpyg deleted successfully!

File   File not found not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\javasvr.exe deleted successfully.

D:\Users\Andreas L\AppData\Roaming\javasvr.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\225.exe deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\CCleaner.exe deleted successfully.

D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD\0.0.0.0\CCleaner.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\javasvr.exe deleted successfully.

File D:\Users\Andreas L\AppData\Roaming\javasvr.exe not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\KPeerNexonEU deleted successfully.

D:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsWelcomeCenter deleted successfully.

File move failed. D:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WMPNSCFG deleted successfully.

File move failed. D:\Programme\Windows Media Player\wmpnscfg.exe scheduled to be moved on reboot.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\younex.exe deleted successfully.

D:\Users\Andreas L\AppData\Local\Temp\younex.exe moved successfully.

C:\autoexec.bat moved successfully.

D:\autoexec.bat moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ not found.

File N:\pushinst.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.

File N:\setup\rsrc\Autorun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.

File N:\Directx\dxsetup.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\ not found.

File K:\pushinst.exe not found.

D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD\0.0.0.0 folder moved successfully.

D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD folder moved successfully.

D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD folder moved successfully.

D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP\lorjIXQzikFhmzwfsSStCP\0.0.0.0 folder moved successfully.

D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP\lorjIXQzikFhmzwfsSStCP folder moved successfully.

D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP folder moved successfully.

D:\Windows\iun6002.exe moved successfully.

File move failed. D:\Windows\System32\kctoqj.dll scheduled to be moved on reboot.

ADS D:\ProgramData\TEMP:05EE1EEF deleted successfully.

========== FILES ==========

File\Folder D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD not found.

========== COMMANDS ==========

D:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: Andreas L

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 3124352 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 76852029 bytes

->Flash cache emptied: 1066 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 4096 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 824 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 76,00 mb

 

 

OTL by OldTimer - Version 3.2.17.3 log created on 12142010_193632
 

Files\Folders moved on Reboot...

File move failed. D:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.

File move failed. D:\Programme\Windows Media Player\wmpnscfg.exe scheduled to be moved on reboot.

File move failed. D:\Windows\System32\kctoqj.dll scheduled to be moved on reboot.

File move failed. D:\Windows\System32\096E1.tmp scheduled to be moved on reboot.
 

Registry entries deleted on Reboot...

wars das schon? und wenn ja welche programme soll ich benutzen um meinen rechner bestmöglich sauber zu halten? welche maßnamen? welchen antiviren scanner wäre am besten?

sry für die vielen fragen aber danke im vorraus :)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Code:

ComboFix 10-12-14.07 - Andreas L 15.12.2010  17:24:06.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3070.1692 [GMT 1:00]

ausgeführt von:: d:\users\Andreas L\Desktop\cofi.exe

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\windows\Install

d:\windows\system32\config.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-15 bis 2010-12-15  ))))))))))))))))))))))))))))))

.
 

2010-12-15 16:30 . 2010-12-15 16:30        --------        d-----w-        d:\users\Andreas L\AppData\Local\temp

2010-12-15 16:30 . 2010-12-15 16:30        --------        d-----w-        d:\users\Default\AppData\Local\temp

2010-12-14 20:08 . 2010-08-26 04:23        13312        ----a-w-        d:\program files\Internet Explorer\iecompat.dll

2010-12-14 20:04 . 2010-08-26 16:34        1696256        ----a-w-        d:\windows\system32\gameux.dll

2010-12-14 20:04 . 2010-08-26 16:33        28672        ----a-w-        d:\windows\system32\Apphlpdm.dll

2010-12-14 20:04 . 2010-08-26 14:23        4240384        ----a-w-        d:\windows\system32\GameUXLegacyGDFs.dll

2010-12-14 18:36 . 2010-12-14 18:36        --------        d-----w-        D:\_OTL

2010-12-14 14:08 . 2010-12-14 14:08        4096        ----a-w-        d:\windows\system32\096E1.tmp

2010-12-13 22:32 . 2010-12-13 22:33        --------        d-----w-        d:\program files\ERUNT

2010-12-13 22:25 . 2010-12-13 22:25        --------        d-----w-        d:\users\Andreas L\AppData\Roaming\Malwarebytes

2010-12-13 22:25 . 2010-12-13 22:25        --------        d-----w-        d:\programdata\Malwarebytes

2010-12-13 22:25 . 2010-11-29 16:42        38224        ----a-w-        d:\windows\system32\drivers\mbamswissarmy.sys

2010-12-13 22:25 . 2010-12-13 22:25        --------        d-----w-        d:\program files\Malwarebytes' Anti-Malware

2010-12-13 22:25 . 2010-11-29 16:42        20952        ----a-w-        d:\windows\system32\drivers\mbam.sys

2010-12-13 21:15 . 2010-12-13 22:42        --------        d-----w-        d:\windows\system32\System

2010-12-10 17:11 . 2010-12-10 17:12        158382        ---h--w-        d:\users\Andreas L\AppData\Roaming\Andreas L1.dll

2010-12-09 09:46 . 1998-06-17 17:07        57344        ----a-w-        d:\windows\system32\Mfc42loc.dll

2010-12-09 09:43 . 2010-12-09 09:44        --------        d-----w-        d:\program files\EA GAMES

2010-12-09 01:08 . 2010-12-09 01:08        --------        d-----w-        d:\program files\LogMeIn Hamachi

2010-12-08 23:35 . 2010-12-15 16:30        --------        d-----w-        d:\users\Andreas L\AppData\Local\LogMeIn Hamachi

2010-12-08 23:32 . 2009-03-18 15:35        26176        ---ha-w-        d:\windows\system32\hamachi.sys

2010-12-08 22:16 . 2010-12-08 22:16        --------        d-----w-        d:\program files\Alcohol Soft

2010-12-03 06:26 . 2010-12-03 06:26        --------        d-----w-        d:\users\Andreas L\AppData\Local\Activision

2010-12-01 22:48 . 2010-12-01 22:48        --------        d-----w-        d:\program files\ConduitEngine

2010-11-28 14:10 . 2010-11-28 14:10        --------        d-----w-        d:\users\Andreas L\AppData\Roaming\Flatcast

2010-11-28 14:10 . 2010-11-28 14:10        695578        ----a-w-        d:\windows\unins000.exe

2010-11-28 04:31 . 2010-11-28 04:31        --------        d-----w-        d:\program files\Rockstar Games

2010-11-27 22:53 . 2010-12-13 22:42        --------        d-----w-        D:\INSTALL

2010-11-26 08:37 . 2010-11-26 08:37        --------        d-----w-        d:\programdata\Nexon

2010-11-26 01:24 . 2010-12-05 00:11        --------        d-----w-        D:\Nexon

2010-11-26 01:24 . 2010-12-05 00:11        235        ----a-w-        d:\windows\system32\nxEuUninstall.bat

2010-11-26 01:24 . 2010-12-05 00:11        446464        ----a-w-        d:\windows\NEXON_EU_DownloaderUpdater.exe

2010-11-23 08:51 . 2010-11-10 04:33        6273872        ----a-w-        d:\programdata\Microsoft\Windows Defender\Definition Updates\{C63BC180-2C48-40EC-A43C-21B37B479C48}\mpengine.dll

2010-11-20 02:52 . 2010-11-20 02:52        --------        d-----w-        d:\users\Andreas L\AppData\Local\Yahoo!

2010-11-19 09:30 . 2010-11-19 09:30        --------        d-----w-        d:\program files\SD EnterNET
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-12 01:52 . 2010-08-05 20:09        43520        ----a-w-        d:\windows\system32\CmdLineExt03.dll

2010-12-10 09:17 . 2010-08-07 00:40        139128        ----a-w-        d:\windows\system32\drivers\PnkBstrK.sys

2010-12-10 09:17 . 2010-08-07 20:20        215128        ----a-w-        d:\windows\system32\PnkBstrB.xtr

2010-12-10 09:17 . 2010-08-07 00:40        215128        ----a-w-        d:\windows\system32\PnkBstrB.exe

2010-12-09 14:40 . 2010-08-07 00:40        75136        ----a-w-        d:\windows\system32\PnkBstrA.exe

2010-12-09 14:40 . 2010-08-07 00:40        270904        ----a-w-        d:\windows\system32\PnkBstrB.ex0

2010-11-25 07:43 . 2010-08-07 00:40        138056        ----a-w-        d:\users\Andreas L\AppData\Roaming\PnkBstrK.sys

2010-11-10 22:19 . 2010-11-10 22:19        472808        ----a-w-        d:\windows\system32\deployJava1.dll

2010-10-24 10:06 . 2010-10-24 10:06        281760        ----a-w-        d:\windows\system32\drivers\atksgt.sys

2010-10-24 10:06 . 2010-10-24 10:06        25888        ----a-w-        d:\windows\system32\drivers\lirsgt.sys

2010-10-19 09:41 . 2010-08-04 15:27        222080        ------w-        d:\windows\system32\MpSigStub.exe

2010-10-13 20:30 . 2010-10-13 20:30        107888        ----a-w-        d:\windows\system32\CmdLineExt.dll

2010-09-27 07:07 . 2010-09-27 07:07        113216        ----a-w-        d:\programdata\Microsoft\VCExpress\9.0\1031\ResourceCache.dll

2010-09-27 07:07 . 2010-09-27 07:07        416        ----a-w-        d:\programdata\Microsoft\MSDN\9.0\1031\ResourceCache.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 10:26        3908192        ----a-w-        d:\program files\ConduitEngine\ConduitEngine.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

2010-10-18 10:26        3908192        ----a-w-        d:\program files\softonic-de3\tbsof2.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]

"msnmsgr"="d:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]

"RtHDVCpl"="d:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-12-26 6707744]

"AVMWlanClient"="d:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]

"Monitor"="d:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]

"QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]

"VirtualCloneDrive"="d:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]

"trustGTX14"="d:\program files\Trust\GXT14 Mouse\POINTERGHOST.exe" [2009-06-05 4833792]

"ArcSoft Connection Service"="d:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]

"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"LogMeIn Hamachi Ui"="d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
 

d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

IMVU.lnk - d:\users\Andreas L\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe [2010-12-1 21760]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv
 

[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^IMVU.lnk]

path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk

backup=d:\windows\pss\IMVU.lnk.Startup

backupExtension=.Startup
 

[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]

path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk

backup=d:\windows\pss\OpenOffice.org 3.2.lnk.Startup

backupExtension=.Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]

2010-12-06 07:31        1910152        ----a-w-        d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2010-11-11 01:07        1242448        ----a-w-        d:\program files\Steam\Steam.exe
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;d:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]

R3 CoachVid;CoachVid;d:\windows\system32\DRIVERS\CoachVid.sys [2007-04-20 45344]

R3 KMWDFilterV1;KMWDFilterV1;d:\windows\System32\Drivers\RPGMOUSEV1.sys [2009-06-10 18432]

R3 npggsvc;nProtect GameGuard Service;d:\windows\system32\GameMon.des [2010-09-06 3648584]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;d:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 sptd;sptd;d:\windows\System32\Drivers\sptd.sys [2010-08-10 691696]

S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]

S2 TeamViewer5;TeamViewer 5;d:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]

S3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]

S3 PAC207;Trust WB-1400T Webcam;d:\windows\system32\DRIVERS\PFC027.SYS [2006-11-20 506112]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

ghpyg

[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{AD57F3D9-974E-EDD9-D5AE-74BA752AB2BA}]

d:\users\ANDREA~1\AppData\Local\Temp\taxi_tool.exe [BU]

[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{BCDACEDA-CAD5-3B51-DB84-64BA7783E1A0}]

d:\users\Andreas L\AppData\Roaming\javasvr.exe [BU]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = fritz.box;192.168.178.1

IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Explorer_Run-javasvr.exe - d:\users\Andreas L\AppData\Roaming\javasvr.exe

MSConfigStartUp-BitTorrent - d:\program files\BitTorrent\BitTorrent.exe

ActiveSetup-{AD57F3D9-974E-EDD9-D5AE-74BA752AB2BA} - d:\users\ANDREA~1\AppData\Local\Temp\taxi_tool.exe

ActiveSetup-{BCDACEDA-CAD5-3B51-DB84-64BA7783E1A0} - d:\users\Andreas L\AppData\Roaming\javasvr.exe

AddRemove-DesertCombat - d:\windows\iun6002.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-15 17:30

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]

"ImagePath"="d:\windows\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:a1,c5,c2,d6,a2,f6,01,66,df,16,32,48,d5,a4,91,b1,1d,5c,78,61,e4,84,63,

   12,e2,6c,26,07,41,a9,65,2e,1d,91,c4,7f,7f,27,fc,a2,93,9d,ef,84,b0,be,3a,86,\

"??"=hex:cf,04,6d,49,dd,57,37,e3,6a,e6,2e,52,5d,86,22,38
 

[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\License information*]

"datasecu"=hex:c5,fd,eb,f7,b2,79,20,59,f4,c3,12,25,21,57,84,b6,0e,9c,50,57,53,

   76,39,fd,c9,1f,b5,7a,94,fc,1b,4b,61,83,eb,79,06,fb,35,40,50,0c,13,81,45,61,\

"rkeysecu"=hex:1a,37,50,eb,da,7b,3d,34,06,1d,23,61,20,2d,1f,2d
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2010-12-15  17:33:26

ComboFix-quarantined-files.txt  2010-12-15 16:33
 

Vor Suchlauf: 14 Verzeichnis(se), 128.056.766.464 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 128.442.806.272 Bytes frei
 

- - End Of File - - 1C4414E36CAD4224D25AAF9CD579A14B

Zitat:

welche programme soll ich benutzen um meinen rechner bestmöglich sauber zu halten? welche maßnamen? welchen antiviren scanner wäre am besten?

mfg Laudi

Zitat:

welche programme soll ich benutzen um meinen rechner bestmöglich sauber zu halten? welche maßnamen? welchen antiviren scanner wäre am besten?

Es gibt keine Sicherheit in bunten Pappschachteln! Du musst selbst was tun, dich an bestimmte Regeln halten!
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

File::

d:\windows\system32\096E1.tmp
 

Netsvc::

ghpyg

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Combofix Logfile:

Code:

ComboFix 10-12-15.06 - Andreas L 16.12.2010  12:15:05.2.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3070.1690 [GMT 1:00]

ausgeführt von:: d:\users\Andreas L\Desktop\cofi.exe

Benutzte Befehlsschalter :: d:\users\Andreas L\Desktop\CFScript.txt

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 

FILE ::

"d:\windows\system32\096E1.tmp"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\windows\system32\096E1.tmp
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-16 bis 2010-12-16  ))))))))))))))))))))))))))))))

.
 

2010-12-16 11:21 . 2010-12-16 11:21        --------        d-----w-        d:\users\Andreas L\AppData\Local\temp

2010-12-16 11:21 . 2010-12-16 11:21        --------        d-----w-        d:\users\Default\AppData\Local\temp

2010-12-16 05:31 . 2010-12-16 05:31        --------        d-----w-        d:\users\Andreas L\AppData\Roaming\W

2010-12-16 05:28 . 2010-12-16 05:28        --------        d-----w-        d:\users\Andreas L\AppData\Roaming\wargaming.net

2010-12-16 05:22 . 2009-03-16 13:18        22360        ----a-w-        d:\windows\system32\X3DAudio1_6.dll

2010-12-16 05:21 . 2010-12-16 05:21        --------        d--h--w-        d:\windows\PIF

2010-12-16 01:20 . 2010-10-28 13:20        2048        ----a-w-        d:\windows\system32\tzres.dll

2010-12-16 01:20 . 2010-11-03 10:51        2409784        ----a-w-        d:\program files\Windows Mail\OESpamFilter.dat

2010-12-15 16:21 . 2010-12-15 16:33        --------        d-----w-        D:\cofi

2010-12-14 20:04 . 2010-08-26 16:34        1696256        ----a-w-        d:\windows\system32\gameux.dll

2010-12-14 20:04 . 2010-08-26 16:33        28672        ----a-w-        d:\windows\system32\Apphlpdm.dll

2010-12-14 20:04 . 2010-08-26 14:23        4240384        ----a-w-        d:\windows\system32\GameUXLegacyGDFs.dll

2010-12-14 20:03 . 2010-01-25 12:00        471552        ----a-w-        d:\windows\system32\secproc_isv.dll

2010-12-14 20:03 . 2010-01-25 12:00        471552        ----a-w-        d:\windows\system32\secproc.dll

2010-12-14 20:03 . 2010-01-25 08:21        526336        ----a-w-        d:\windows\system32\RMActivate_isv.exe

2010-12-14 20:03 . 2010-01-25 08:21        346624        ----a-w-        d:\windows\system32\RMActivate_ssp_isv.exe

2010-12-14 20:03 . 2010-01-25 12:00        152576        ----a-w-        d:\windows\system32\secproc_ssp_isv.dll

2010-12-14 20:03 . 2010-01-25 12:00        152064        ----a-w-        d:\windows\system32\secproc_ssp.dll

2010-12-14 20:03 . 2010-01-25 11:58        332288        ----a-w-        d:\windows\system32\msdrm.dll

2010-12-14 20:03 . 2010-01-25 08:21        518144        ----a-w-        d:\windows\system32\RMActivate.exe

2010-12-14 20:03 . 2010-01-25 08:21        347136        ----a-w-        d:\windows\system32\RMActivate_ssp.exe

2010-12-14 20:03 . 2009-09-10 14:58        1418752        ----a-w-        d:\program files\Windows Media Player\setup_wm.exe

2010-12-14 20:03 . 2009-09-10 14:58        310784        ----a-w-        d:\windows\system32\unregmp2.exe

2010-12-14 20:03 . 2009-10-23 17:10        714240        ----a-w-        d:\windows\system32\timedate.cpl

2010-12-14 18:36 . 2010-12-14 18:36        --------        d-----w-        D:\_OTL

2010-12-13 22:32 . 2010-12-13 22:33        --------        d-----w-        d:\program files\ERUNT

2010-12-13 22:25 . 2010-12-13 22:25        --------        d-----w-        d:\users\Andreas L\AppData\Roaming\Malwarebytes

2010-12-13 22:25 . 2010-12-13 22:25        --------        d-----w-        d:\programdata\Malwarebytes

2010-12-13 22:25 . 2010-11-29 16:42        38224        ----a-w-        d:\windows\system32\drivers\mbamswissarmy.sys

2010-12-13 22:25 . 2010-12-13 22:25        --------        d-----w-        d:\program files\Malwarebytes' Anti-Malware

2010-12-13 22:25 . 2010-11-29 16:42        20952        ----a-w-        d:\windows\system32\drivers\mbam.sys

2010-12-13 21:15 . 2010-12-13 22:42        --------        d-----w-        d:\windows\system32\System

2010-12-10 17:11 . 2010-12-10 17:12        158382        ---h--w-        d:\users\Andreas L\AppData\Roaming\Andreas L1.dll

2010-12-09 09:46 . 1998-06-17 17:07        57344        ----a-w-        d:\windows\system32\Mfc42loc.dll

2010-12-09 09:43 . 2010-12-09 09:44        --------        d-----w-        d:\program files\EA GAMES

2010-12-09 01:08 . 2010-12-09 01:08        --------        d-----w-        d:\program files\LogMeIn Hamachi

2010-12-08 23:35 . 2010-12-16 11:21        --------        d-----w-        d:\users\Andreas L\AppData\Local\LogMeIn Hamachi

2010-12-08 23:32 . 2009-03-18 15:35        26176        ---ha-w-        d:\windows\system32\hamachi.sys

2010-12-08 22:16 . 2010-12-08 22:16        --------        d-----w-        d:\program files\Alcohol Soft

2010-12-03 06:26 . 2010-12-03 06:26        --------        d-----w-        d:\users\Andreas L\AppData\Local\Activision

2010-12-01 22:48 . 2010-12-01 22:48        --------        d-----w-        d:\program files\ConduitEngine

2010-11-28 14:10 . 2010-11-28 14:10        --------        d-----w-        d:\users\Andreas L\AppData\Roaming\Flatcast

2010-11-28 14:10 . 2010-11-28 14:10        695578        ----a-w-        d:\windows\unins000.exe

2010-11-28 04:31 . 2010-11-28 04:31        --------        d-----w-        d:\program files\Rockstar Games

2010-11-27 22:53 . 2010-12-13 22:42        --------        d-----w-        D:\INSTALL

2010-11-26 08:37 . 2010-11-26 08:37        --------        d-----w-        d:\programdata\Nexon

2010-11-26 01:24 . 2010-12-05 00:11        --------        d-----w-        D:\Nexon

2010-11-26 01:24 . 2010-12-05 00:11        235        ----a-w-        d:\windows\system32\nxEuUninstall.bat

2010-11-26 01:24 . 2010-12-05 00:11        446464        ----a-w-        d:\windows\NEXON_EU_DownloaderUpdater.exe

2010-11-23 08:51 . 2010-11-10 04:33        6273872        ----a-w-        d:\programdata\Microsoft\Windows Defender\Definition Updates\{C63BC180-2C48-40EC-A43C-21B37B479C48}\mpengine.dll

2010-11-20 02:52 . 2010-11-20 02:52        --------        d-----w-        d:\users\Andreas L\AppData\Local\Yahoo!

2010-11-19 09:30 . 2010-11-19 09:30        --------        d-----w-        d:\program files\SD EnterNET
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-12 01:52 . 2010-08-05 20:09        43520        ----a-w-        d:\windows\system32\CmdLineExt03.dll

2010-12-10 09:17 . 2010-08-07 00:40        139128        ----a-w-        d:\windows\system32\drivers\PnkBstrK.sys

2010-12-10 09:17 . 2010-08-07 20:20        215128        ----a-w-        d:\windows\system32\PnkBstrB.xtr

2010-12-10 09:17 . 2010-08-07 00:40        215128        ----a-w-        d:\windows\system32\PnkBstrB.exe

2010-12-09 14:40 . 2010-08-07 00:40        75136        ----a-w-        d:\windows\system32\PnkBstrA.exe

2010-12-09 14:40 . 2010-08-07 00:40        270904        ----a-w-        d:\windows\system32\PnkBstrB.ex0

2010-11-25 07:43 . 2010-08-07 00:40        138056        ----a-w-        d:\users\Andreas L\AppData\Roaming\PnkBstrK.sys

2010-11-10 22:19 . 2010-11-10 22:19        472808        ----a-w-        d:\windows\system32\deployJava1.dll

2010-10-24 10:06 . 2010-10-24 10:06        281760        ----a-w-        d:\windows\system32\drivers\atksgt.sys

2010-10-24 10:06 . 2010-10-24 10:06        25888        ----a-w-        d:\windows\system32\drivers\lirsgt.sys

2010-10-19 09:41 . 2010-08-04 15:27        222080        ------w-        d:\windows\system32\MpSigStub.exe

2010-10-13 20:30 . 2010-10-13 20:30        107888        ----a-w-        d:\windows\system32\CmdLineExt.dll

2010-09-27 07:07 . 2010-09-27 07:07        113216        ----a-w-        d:\programdata\Microsoft\VCExpress\9.0\1031\ResourceCache.dll

2010-09-27 07:07 . 2010-09-27 07:07        416        ----a-w-        d:\programdata\Microsoft\MSDN\9.0\1031\ResourceCache.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 10:26        3908192        ----a-w-        d:\program files\ConduitEngine\ConduitEngine.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

2010-10-18 10:26        3908192        ----a-w-        d:\program files\softonic-de3\tbsof2.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]

"msnmsgr"="d:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]

"RtHDVCpl"="d:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-12-26 6707744]

"AVMWlanClient"="d:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]

"Monitor"="d:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]

"QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]

"VirtualCloneDrive"="d:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]

"trustGTX14"="d:\program files\Trust\GXT14 Mouse\POINTERGHOST.exe" [2009-06-05 4833792]

"ArcSoft Connection Service"="d:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]

"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"LogMeIn Hamachi Ui"="d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
 

d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

IMVU.lnk - d:\users\Andreas L\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe [2010-12-1 21760]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv
 

[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^IMVU.lnk]

path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk

backup=d:\windows\pss\IMVU.lnk.Startup

backupExtension=.Startup
 

[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]

path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk

backup=d:\windows\pss\OpenOffice.org 3.2.lnk.Startup

backupExtension=.Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]

2010-12-06 07:31        1910152        ----a-w-        d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2010-11-11 01:07        1242448        ----a-w-        d:\program files\Steam\Steam.exe
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;d:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]

R3 CoachVid;CoachVid;d:\windows\system32\DRIVERS\CoachVid.sys [2007-04-20 45344]

R3 KMWDFilterV1;KMWDFilterV1;d:\windows\System32\Drivers\RPGMOUSEV1.sys [2009-06-10 18432]

R3 npggsvc;nProtect GameGuard Service;d:\windows\system32\GameMon.des [2010-09-06 3648584]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;d:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 sptd;sptd;d:\windows\System32\Drivers\sptd.sys [2010-08-10 691696]

S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]

S2 TeamViewer5;TeamViewer 5;d:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]

S3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]

S3 PAC207;Trust WB-1400T Webcam;d:\windows\system32\DRIVERS\PFC027.SYS [2006-11-20 506112]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{AD57F3D9-974E-EDD9-D5AE-74BA752AB2BA}]

d:\users\ANDREA~1\AppData\Local\Temp\taxi_tool.exe [BU]

[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{BCDACEDA-CAD5-3B51-DB84-64BA7783E1A0}]

d:\users\Andreas L\AppData\Roaming\javasvr.exe [BU]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = fritz.box;192.168.178.1

IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-16 12:21

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]

"ImagePath"="d:\windows\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:a1,c5,c2,d6,a2,f6,01,66,df,16,32,48,d5,a4,91,b1,1d,5c,78,61,e4,84,63,

   12,e2,6c,26,07,41,a9,65,2e,1d,91,c4,7f,7f,27,fc,a2,93,9d,ef,84,b0,be,3a,86,\

"??"=hex:cf,04,6d,49,dd,57,37,e3,6a,e6,2e,52,5d,86,22,38
 

[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\License information*]

"datasecu"=hex:c5,fd,eb,f7,b2,79,20,59,f4,c3,12,25,21,57,84,b6,0e,9c,50,57,53,

   76,39,fd,c9,1f,b5,7a,94,fc,1b,4b,61,83,eb,79,06,fb,35,40,50,0c,13,81,45,61,\

"rkeysecu"=hex:1a,37,50,eb,da,7b,3d,34,06,1d,23,61,20,2d,1f,2d
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2010-12-16  12:23:01

ComboFix-quarantined-files.txt  2010-12-16 11:22

ComboFix2.txt  2010-12-15 16:33
 

Vor Suchlauf: 16 Verzeichnis(se), 157.673.177.088 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 157.646.643.200 Bytes frei
 

- - End Of File - - 2D891A8B614520FCCA4A2483222CA70A[/QUOTE]

--- --- ---

so hier der log

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

so hab die logs bis auf gmer da dies meint immer abkacken zu müssen

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!