Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Drop.Agnet.bzdh (https://www.trojaner-board.de/95576-trojaner-drop-agnet-bzdh.html)

chris1309 10.02.2011 17:45
Trojaner Drop.Agnet.bzdh
 
Hallo,
Avira hat auf meinem PC den Trojaner Drop.Agnet.bzdh gefunden :(
Nach dem Scan wurde die Datei in die Quarantäne verschoben und gelöscht.
Die Symptome gehen aber weiter: Mozilla + Microsoft IE sind extrem langsam und hängen sich immer wieder auf.

Im Anhnag sind Logs von Malewarebyts und OTL.
Den Avira Log musste ich in 2 Dateien splitten, da die Datei sonst zu groß gewesen wäre.

Schon mal im vorraus vielen Dank für eure Hilfe!!

Chris

hier noch der 2 +3. Teil des Avira Log.

cosinus 10.02.2011 20:09
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

chris1309 11.02.2011 08:56
Hallo Arne,

diesen hier gibts noch:
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5719

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.02.2011 17:58:36
mbam-log-2011-02-09 (17-58-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 324737
Laufzeit: 1 Stunde(n), 12 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014094.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014096.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014097.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014099.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
Gruß Christian

cosinus 11.02.2011 09:29
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
[2009.11.24 21:24:52 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Bao_Nguyen
[2009.12.01 22:18:23 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\bellz
@Alternate Data Stream - 48 bytes -> C:\Windows:B9AC62421AD97614
@Alternate Data Stream - 143 bytes -> C:\Users\Christian\AppData\Roaming\Kommagetrennte Werte (Windows).EML:OECustomProperty
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

chris1309 11.02.2011 14:41
Hi Arne,
das OTL Log:

Code:
All processes killed
========== OTL ==========
C:\Users\Christian\AppData\Roaming\Bao_Nguyen\Switcher.exe_Url_qa5i3p42aomuvoxpuxuficvbmngksgjs\2.0.0.0 folder moved successfully.
C:\Users\Christian\AppData\Roaming\Bao_Nguyen\Switcher.exe_Url_qa5i3p42aomuvoxpuxuficvbmngksgjs folder moved successfully.
C:\Users\Christian\AppData\Roaming\Bao_Nguyen folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2\templates folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2\plugins folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2\icons folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2 folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz folder moved successfully.
ADS C:\Windows:B9AC62421AD97614 deleted successfully.
ADS C:\Users\Christian\AppData\Roaming\Kommagetrennte Werte (Windows).EML:OECustomProperty deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Christian
->Temp folder emptied: 15344112 bytes
->Temporary Internet Files folder emptied: 28540385 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 43646090 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 4937 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 763256 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3926 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 751 bytes
RecycleBin emptied: 2335250 bytes
 
Total Files Cleaned = 87,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02112011_143136

Files\Folders moved on Reboot...
C:\Users\Christian\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
Gruß Christian

cosinus 11.02.2011 15:59
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

chris1309 11.02.2011 17:01
hier der Log con Combofix:

Code:
ComboFix 11-02-10.01 - Christian 11.02.2011  16:40:02.1.2 - x64
Microsoft Windows 7 Professional  6.1.7600.0.1252.49.1031.18.3837.2594 [GMT 1:00]
ausgeführt von:: c:\users\Christian\Downloads\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Christian\AppData\Roaming\inst.exe
c:\users\Christian\AppData\Roaming\Local

.
(((((((((((((((((((((((  Dateien erstellt von 2011-01-11 bis 2011-02-11  ))))))))))))))))))))))))))))))
.

2011-02-11 15:35 . 2011-02-11 15:38        --------        d-----w-        C:\32788R22FWJFW
2011-02-11 13:31 . 2011-02-11 13:31        --------        d-----w-        C:\_OTL
2011-02-10 16:32 . 2011-02-10 16:32        --------        d-----w-        c:\users\Christian\AppData\Roaming\Avira
2011-02-10 16:19 . 2011-02-10 16:19        --------        d-----w-        c:\program files (x86)\7-Zip
2011-02-10 15:49 . 2011-01-10 13:23        83120        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-02-10 15:49 . 2011-01-10 13:23        116568        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-02-10 15:49 . 2011-02-10 15:49        --------        d-----w-        c:\program files (x86)\Avira
2011-02-02 08:18 . 2011-02-05 11:50        --------        d-----r-        c:\users\Christian\Dropbox
2011-02-02 08:14 . 2011-02-05 11:50        --------        d-----w-        c:\users\Christian\AppData\Roaming\Dropbox
2011-01-22 19:31 . 2011-01-22 19:31        --------        d-----w-        c:\users\Christian\AppData\Roaming\DivX
2011-01-22 19:31 . 2011-01-22 19:31        --------        d-----w-        c:\program files\DivX
2011-01-22 19:30 . 2011-01-22 19:31        --------        d-----w-        c:\program files (x86)\Common Files\DivX Shared
2011-01-22 19:30 . 2011-01-22 19:32        --------        d-----w-        c:\program files (x86)\DivX
2011-01-22 19:25 . 2011-01-22 19:25        51200        ----a-w-        c:\windows\system32\WMVCOREd.DLL

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-11-23 07:37        38224        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-18 09:05        24152        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-10 07:47 . 2010-08-23 10:35        521448        ----a-w-        c:\windows\system32\deployJava1.dll
2010-12-02 03:35 . 2010-12-02 03:35        4280320        ----a-w-        c:\windows\SysWow64\GPhotos.scr
2010-11-29 16:38 . 2010-11-29 16:38        94208        ----a-w-        c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38        69632        ----a-w-        c:\windows\SysWow64\QuickTime.qts
2010-11-22 16:18 . 2010-11-22 16:18        388096        ----a-r-        c:\users\Christian\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FileHippo.com"="c:\program files (x86)\FileHippo.com\UpdateChecker.exe" [2010-08-09 248832]
"Adobe Reader Synchronizer"="c:\program files (x86)\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [2010-11-10 1216416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-09-03 288312]
"SoundMAXPnP"="c:\program files (x86)\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]
"CognizanceTS"="c:\progra~2\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2009-07-28 24848]
"File Sanitizer"="c:\program files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-07-06 11227136]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 20992]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 135664]
R3 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2009-08-07 45056]
R3 TridVid;USB TV Tuner;c:\windows\system32\DRIVERS\tridvid6010.sys [2010-07-13 404352]
R3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;c:\windows\system32\Drivers\UDXTTM6000.sys [2007-02-27 365824]
R3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;c:\windows\system32\drivers\UDXTTM6000HID.sys [2007-02-27 17920]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 12800]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-17 503352]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 277032]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 203264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\ATService.exe [2009-07-29 1841912]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 2101640]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe [2009-07-06 77824]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2009-07-08 30520]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files (x86)\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
S2 uvnc_service;uvnc_service;c:\program files (x86)\UltraVNC\WinVNC.exe [2009-12-06 1590216]
S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [2009-07-29 549888]
S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]


[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Cognizance        REG_MULTI_SZ          ASBroker
Bioscrypt        REG_MULTI_SZ          ASChannel
.
Inhalt des "geplante Tasks" Ordners

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0EA99306-BC87-4930-9E1D-1D1EA32A7E4E}]
2009-07-28 02:06        568592        ----a-w-        c:\program files (x86)\Hewlett-Packard\IAM\Bin\ItIEAddIn64.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\cofi\CF18838.cfxxe" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com/ie
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\users\Christian\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\mlwnrp04.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-(Standard) - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{E20DD46F-0CC4-5960-1B1F69E13D145F9C}\{B130274E-D0E8-282B-E7F07B1EE1210709}\{71D795F0-66AF-00D6-EF71DCAC5CDD95C3}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
  f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{F16633BB-6FFB-FEEF-6851EE4CF61ADAA7}\{8DE0EF13-9AB8-84BF-28848AB6F741F092}\{2912CDF2-3190-D0FE-95FF87CEE55A8F74}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
  f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Esker\Common\eslcbcst.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files (x86)\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-11  16:55:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-11 15:55

Vor Suchlauf: 17 Verzeichnis(se), 118.753.456.128 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 118.062.948.352 Bytes frei

- - End Of File - - 5C3E491BD1C02258C35661F8B5AF2C5F

cosinus 11.02.2011 19:54
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Filelook::
c:\windows\system32\WMVCOREd.DLL
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

chris1309 11.02.2011 22:18
Code:
ComboFix 11-02-10.01 - Christian 11.02.2011  21:27:49.2.2 - x64
Microsoft Windows 7 Professional  6.1.7600.0.1252.49.1031.18.3837.2663 [GMT 1:00]
ausgeführt von:: c:\users\Christian\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Christian\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((  Dateien erstellt von 2011-01-11 bis 2011-02-11  ))))))))))))))))))))))))))))))
.

2011-02-11 20:40 . 2011-02-11 20:40        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-02-11 13:31 . 2011-02-11 13:31        --------        d-----w-        C:\_OTL
2011-02-10 16:32 . 2011-02-10 16:32        --------        d-----w-        c:\users\Christian\AppData\Roaming\Avira
2011-02-10 16:19 . 2011-02-10 16:19        --------        d-----w-        c:\program files (x86)\7-Zip
2011-02-10 15:49 . 2011-01-10 13:23        83120        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-02-10 15:49 . 2011-01-10 13:23        116568        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-02-10 15:49 . 2011-02-10 15:49        --------        d-----w-        c:\program files (x86)\Avira
2011-02-02 08:18 . 2011-02-05 11:50        --------        d-----r-        c:\users\Christian\Dropbox
2011-02-02 08:14 . 2011-02-05 11:50        --------        d-----w-        c:\users\Christian\AppData\Roaming\Dropbox
2011-01-22 19:31 . 2011-01-22 19:31        --------        d-----w-        c:\users\Christian\AppData\Roaming\DivX
2011-01-22 19:31 . 2011-01-22 19:31        --------        d-----w-        c:\program files\DivX
2011-01-22 19:30 . 2011-01-22 19:31        --------        d-----w-        c:\program files (x86)\Common Files\DivX Shared
2011-01-22 19:30 . 2011-01-22 19:32        --------        d-----w-        c:\program files (x86)\DivX
2011-01-22 19:25 . 2011-01-22 19:25        51200        ----a-w-        c:\windows\system32\WMVCOREd.DLL

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-11-23 07:37        38224        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-18 09:05        24152        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-10 07:47 . 2010-08-23 10:35        521448        ----a-w-        c:\windows\system32\deployJava1.dll
2010-12-02 03:35 . 2010-12-02 03:35        4280320        ----a-w-        c:\windows\SysWow64\GPhotos.scr
2010-11-29 16:38 . 2010-11-29 16:38        94208        ----a-w-        c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38        69632        ----a-w-        c:\windows\SysWow64\QuickTime.qts
2010-11-22 16:18 . 2010-11-22 16:18        388096        ----a-r-        c:\users\Christian\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
.

(((((((((((((((((((((((((((((  SnapShot@2011-02-11_15.49.14  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-24 14:40 . 2011-02-11 20:44        53632              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-02-11 20:44        46368              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2009-07-14 05:10 . 2011-02-11 15:50        46368              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-11-24 14:16 . 2011-02-11 20:44        17446              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1284297116-794809632-3988175124-1000_UserData.bin
- 2009-11-24 13:49 . 2011-02-11 15:48        16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-24 13:49 . 2011-02-11 20:43        16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-02-11 13:33 . 2011-02-11 20:43        32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2011-02-11 13:33 . 2011-02-11 15:48        32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-02-11 15:48        16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-02-11 20:43        16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:42        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:47        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-01-26 07:23 . 2011-02-11 15:49        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2011-01-26 07:23 . 2011-02-11 20:43        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2011-01-26 07:23 . 2011-02-11 15:49        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\History\History.IE5\index.dat
+ 2011-01-26 07:23 . 2011-02-11 20:43        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\History\History.IE5\index.dat
- 2011-01-26 07:23 . 2011-02-11 15:49        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Cookies\index.dat
+ 2011-01-26 07:23 . 2011-02-11 20:43        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Cookies\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:49        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:43        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:47        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:42        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:49        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:43        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:43        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:49        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-02-11 20:41 . 2011-02-11 20:41        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-02-11 15:47 . 2011-02-11 15:47        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-02-11 20:41 . 2011-02-11 20:41        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-02-11 15:47 . 2011-02-11 15:47        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:36 . 2011-02-11 14:37        618912              c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2011-02-11 20:10        618912              c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-02-11 14:37        107232              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-02-11 20:10        107232              c:\windows\system32\perfc009.dat
- 2009-07-14 05:12 . 2011-02-11 15:48        262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-14 05:12 . 2011-02-11 20:43        262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:01 . 2011-02-11 15:46        482640              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-02-11 20:41        482640              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FileHippo.com"="c:\program files (x86)\FileHippo.com\UpdateChecker.exe" [2010-08-09 248832]
"Adobe Reader Synchronizer"="c:\program files (x86)\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [2010-11-10 1216416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-09-03 288312]
"SoundMAXPnP"="c:\program files (x86)\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]
"CognizanceTS"="c:\progra~2\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2009-07-28 24848]
"File Sanitizer"="c:\program files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-07-06 11227136]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 20992]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 135664]
R3 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2009-08-07 45056]
R3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
R3 TridVid;USB TV Tuner;c:\windows\system32\DRIVERS\tridvid6010.sys [2010-07-13 404352]
R3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;c:\windows\system32\Drivers\UDXTTM6000.sys [2007-02-27 365824]
R3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;c:\windows\system32\drivers\UDXTTM6000HID.sys [2007-02-27 17920]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 12800]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-17 503352]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 277032]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 203264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\ATService.exe [2009-07-29 1841912]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 2101640]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe [2009-07-06 77824]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2009-07-08 30520]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files (x86)\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
S2 uvnc_service;uvnc_service;c:\program files (x86)\UltraVNC\WinVNC.exe [2009-12-06 1590216]
S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [2009-07-29 549888]
S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]


[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Cognizance        REG_MULTI_SZ          ASBroker
Bioscrypt        REG_MULTI_SZ          ASChannel
.
Inhalt des "geplante Tasks" Ordners

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0EA99306-BC87-4930-9E1D-1D1EA32A7E4E}]
2009-07-28 02:06        568592        ----a-w-        c:\program files (x86)\Hewlett-Packard\IAM\Bin\ItIEAddIn64.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        97792        ----a-w-        c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="%ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook64.dll c:\progra~2\HEWLET~1\IAM\Bin\APSHook64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com/ie
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\users\Christian\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\mlwnrp04.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{E20DD46F-0CC4-5960-1B1F69E13D145F9C}\{B130274E-D0E8-282B-E7F07B1EE1210709}\{71D795F0-66AF-00D6-EF71DCAC5CDD95C3}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
  f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{F16633BB-6FFB-FEEF-6851EE4CF61ADAA7}\{8DE0EF13-9AB8-84BF-28848AB6F741F092}\{2912CDF2-3190-D0FE-95FF87CEE55A8F74}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
  f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Esker\Common\eslcbcst.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files (x86)\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-11  22:10:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-11 21:10
ComboFix2.txt  2011-02-11 15:55

Vor Suchlauf: 24 Verzeichnis(se), 118.110.998.528 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 117.813.915.648 Bytes frei

- - End Of File - - D5C2A82D7A79440313DFD14CD510C9F9

cosinus 11.02.2011 22:20
Zitat:
c:\windows\system32\WMVCOREd.DLL
Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

chris1309 11.02.2011 22:50
Hi Arne,

ich kann die Datei irgendwie nicht hochladen. Ich finde sie zwar im angegebenen Pfad, aber wenn ich bei Virustotal auf Durchsuchen gehe ist die Datei nicht mehr da. (Habe alles sichtbargemacht wie beschrieben)
2. Versuch, per Email an Virus Total. Das selbe. Wenn ich einen Anhang einfügen will ist die Dateil nicht da. Copy Paste in die Mail rein funktioniert auch nicht. Dann heißt es: "die Datei kann nicht gefunden werden"

Was kann ich tun?

Gruße christian

cosinus 11.02.2011 22:57
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
file::
c:\windows\system32\WMVCOREd.DLL
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

chris1309 12.02.2011 11:25
Hallo Arne,

gestern konnte ich plötzlich keine Verbindung zum Internet herstellen.
Heute geht es nach dem 2. Neustart wieder!

Wenn ich Cobofix mit deinem Skript ausführe, stürzt es gleich nach Start des Suchlaufes immer ab mit der Warnmeldung:
"Windows-Befehlsprozessor funktioniert nicht mehr - Das Programm wird auf Grund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist"

Was hat das zu bedeuten?

Gruße Christian

cosinus 12.02.2011 11:44
Lad dir mal sowas wie Knoppix oder Ubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.

Navigiere unter Linux zu deiner Windows-Partition bzw. zu dieser Datei => \windows\system32\WMVCOREd.DLL

Werte sie bei Virustotal aus, falls sie dort zu sehen ist und poste den Ergebnislink.

chris1309 12.02.2011 12:18
so gings :)
hier der Link:

hxxp://www.virustotal.com/file-scan/report.html?id=b31720d00a921324fc59a5298cbbdb3a811e078174123021cb2e4ead793193e7-1297509154

cosinus 12.02.2011 12:29
Ok, auch wenn da nichts gefunden wurde, halte ich dir Datei für verdächtig.
Benenn sie mal unter Linux um, häng ein .vir dran so dass sie fortan den Namen WMVCOREd.DLL.vir trägt.

chris1309 12.02.2011 12:31
erledigt!

Warst das jetzt?
Auf jeden Fall schon mal Danke für deine Hilfe!

cosinus 12.02.2011 12:36
Hast du Windows schonmal wieder gestartet? mach da mal weitere Logs mit GMER und MBRCHECK:

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

chris1309 12.02.2011 13:09
hier schon mal das Log von Kmer.
Mbr kommt gleich.


Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-12 13:08:16
Windows 6.1.7600 
Running: w8jwnrw4.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00247e7b2b61                                         
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                    771343423
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                    285507792
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                    1
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x29 0x2D 0x43 0xA7 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                           
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                      0x97 0x0A 0x95 0x14 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                     
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xDB 0xEF 0xFF 0x80 ...
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00247e7b2b61 (not active ControlSet)                     
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      0
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x29 0x2D 0x43 0xA7 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                          0x97 0x0A 0x95 0x14 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) 
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xDB 0xEF 0xFF 0x80 ...

---- EOF - GMER 1.0.15 ----

chris1309 12.02.2011 13:12
jetzt noch Mbr

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows 7 Professional
Windows Information:                (build 7600), 64-bit
Base Board Manufacturer:        Hewlett-Packard
BIOS Manufacturer:                Hewlett-Packard
System Manufacturer:                Hewlett-Packard
System Product Name:                HP Compaq 6735b
Logical Drives Mask:                0x0000000c

Kernel Drivers (total 213):
  0x02E0A000 \SystemRoot\system32\ntoskrnl.exe
  0x033E7000 \SystemRoot\system32\hal.dll
  0x00BAE000 \SystemRoot\system32\kdcom.dll
  0x00CF0000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x00CFD000 \SystemRoot\system32\PSHED.dll
  0x00D11000 \SystemRoot\system32\CLFS.SYS
  0x00C00000 \SystemRoot\system32\CI.dll
  0x00E6C000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x00F10000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x01071000 \SystemRoot\System32\Drivers\sptd.sys
  0x011CE000 \SystemRoot\System32\Drivers\WMILIB.SYS
  0x01000000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
  0x00F1F000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x0102F000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x01039000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x00F76000 \SystemRoot\system32\DRIVERS\pci.sys
  0x01046000 \SystemRoot\System32\drivers\partmgr.sys
  0x0105B000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x01064000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x011D7000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x00E00000 \SystemRoot\System32\drivers\volmgrx.sys
  0x00FA9000 \SystemRoot\System32\drivers\mountmgr.sys
  0x011EC000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x00FC3000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x011F5000 \SystemRoot\system32\DRIVERS\msahci.sys
  0x00FED000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x00E5C000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x00D6F000 \SystemRoot\system32\drivers\fltmgr.sys
  0x00DBB000 \SystemRoot\system32\drivers\fileinfo.sys
  0x0123B000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x01415000 \SystemRoot\System32\Drivers\msrpc.sys
  0x01473000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x0148D000 \SystemRoot\System32\Drivers\cng.sys
  0x01500000 \SystemRoot\System32\drivers\pcw.sys
  0x01511000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x0169A000 \SystemRoot\system32\drivers\ndis.sys
  0x0178C000 \SystemRoot\system32\drivers\NETIO.SYS
  0x01600000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x01803000 \SystemRoot\System32\drivers\tcpip.sys
  0x0162B000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x01675000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x0151B000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x01685000 \SystemRoot\System32\Drivers\spldr.sys
  0x01567000 \SystemRoot\System32\drivers\rdyboost.sys
  0x017EC000 \SystemRoot\System32\Drivers\mup.sys
  0x0168D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x015A1000 \SystemRoot\system32\DRIVERS\hpdskflt.sys
  0x015AB000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x015E5000 \SystemRoot\system32\DRIVERS\disk.sys
  0x01200000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x00CC0000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x013F5000 \SystemRoot\System32\Drivers\Null.SYS
  0x0140E000 \SystemRoot\System32\Drivers\Beep.SYS
  0x00DE2000 \SystemRoot\System32\drivers\vga.sys
  0x02C37000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x02C5C000 \SystemRoot\System32\drivers\watchdog.sys
  0x02C6C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x02C75000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x02C7E000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x02C87000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x02C92000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x02CA3000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x02CC1000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x02CCE000 \SystemRoot\system32\drivers\afd.sys
  0x02D58000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x02D9D000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x02DA6000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x02DCC000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x02DE2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x02C00000 \SystemRoot\system32\DRIVERS\serial.sys
  0x03A89000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x03AA4000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x03AB8000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x03B09000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x03B15000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x03B20000 \SystemRoot\System32\drivers\discache.sys
  0x03B2F000 \SystemRoot\system32\drivers\csc.sys
  0x03BB2000 \SystemRoot\System32\Drivers\dfsc.sys
  0x03BD0000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x03A00000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x03A22000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x03A48000 \SystemRoot\system32\DRIVERS\amdppm.sys
  0x03CA8000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x042BF000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x043B3000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x048F5000 \SystemRoot\system32\DRIVERS\bcmwl664.sys
  0x04BD0000 \SystemRoot\system32\DRIVERS\vwifibus.sys
  0x04BDD000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0x04BEA000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x04800000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x04856000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x04867000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x0488B000 \SystemRoot\system32\drivers\tpm.sys
  0x0489A000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x048A6000 \SystemRoot\system32\DRIVERS\parport.sys
  0x048C3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x048E1000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
  0x03C48000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x04417000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0x0456E000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x04570000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x0457F000 \SystemRoot\system32\DRIVERS\1394ohci.sys
  0x045BD000 \SystemRoot\system32\DRIVERS\Accelerometer.sys
  0x045C9000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x045CE000 \SystemRoot\system32\DRIVERS\cpqbttn64.sys
  0x045D1000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x045EA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x045F3000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x04400000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x048ED000 \SystemRoot\system32\DRIVERS\serscan.sys
  0x04410000 \SystemRoot\system32\drivers\ksthunk.sys
  0x03C57000 \SystemRoot\system32\drivers\ks.sys
  0x03A5D000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x04E61000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x04E85000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x04E91000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x04EC0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x04EDB000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x04EFC000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x04F16000 \SystemRoot\system32\DRIVERS\hamachi.sys
  0x04F21000 \SystemRoot\System32\Drivers\pcouffin.sys
  0x04F36000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x04F41000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x04F43000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x04F55000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x04FAF000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x04FBD000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x05CD5000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0x05D55000 \SystemRoot\system32\drivers\portcls.sys
  0x05D92000 \SystemRoot\system32\drivers\drmk.sys
  0x05EAD000 \SystemRoot\system32\DRIVERS\agrsm64.sys
  0x05FCF000 \SystemRoot\system32\drivers\modem.sys
  0x000B0000 \SystemRoot\System32\win32k.sys
  0x05FDE000 \SystemRoot\System32\drivers\Dxapi.sys
  0x05FEA000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x05E00000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x05E0C000 \SystemRoot\System32\Drivers\dump_msahci.sys
  0x05E17000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x05C00000 \SystemRoot\System32\Drivers\ATSwpWDF.sys
  0x02421000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
  0x025EA000 \SystemRoot\system32\DRIVERS\STREAM.SYS
  0x02400000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
  0x02409000 \SystemRoot\System32\Drivers\BTHUSB.sys
  0x026D1000 \SystemRoot\System32\Drivers\bthport.sys
  0x0275D000 \SystemRoot\system32\DRIVERS\rfcomm.sys
  0x02789000 \SystemRoot\system32\DRIVERS\BthEnum.sys
  0x02799000 \SystemRoot\system32\DRIVERS\bthpan.sys
  0x005D0000 \SystemRoot\System32\TSDDD.dll
  0x00770000 \SystemRoot\System32\cdd.dll
  0x00900000 \SystemRoot\System32\ATMFD.DLL
  0x027C7000 \SystemRoot\system32\drivers\luafv.sys
  0x02600000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x0261D000 \SystemRoot\system32\drivers\WudfPf.sys
  0x0263E000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x02653000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x026A6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x026B9000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x054BA000 \SystemRoot\system32\drivers\HTTP.sys
  0x05582000 \SystemRoot\system32\DRIVERS\vwifimp.sys
  0x0558C000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x055AA000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x055C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x05400000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x0544E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x07605000 \SystemRoot\system32\drivers\peauth.sys
  0x076AB000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x076B6000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x076E3000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x076F5000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x0775C000 \SystemRoot\System32\DRIVERS\srv.sys
  0x077F2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x05471000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x05E2A000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x77220000 \Windows\System32\ntdll.dll
  0x475B0000 \Windows\System32\smss.exe
  0xFF540000 \Windows\System32\apisetschema.dll
  0xFF360000 \Windows\System32\autochk.exe
  0xFF500000 \Windows\System32\imm32.dll
  0xFF4E0000 \Windows\System32\imagehlp.dll
  0xFF460000 \Windows\System32\difxapi.dll
  0xFF380000 \Windows\System32\oleaut32.dll
  0x773F0000 \Windows\System32\psapi.dll
  0xFF270000 \Windows\System32\msctf.dll
  0xFF190000 \Windows\System32\advapi32.dll
  0xFEF80000 \Windows\System32\ole32.dll
  0xFEF70000 \Windows\System32\lpk.dll
  0xFEF50000 \Windows\System32\sechost.dll
  0xFEF40000 \Windows\System32\nsi.dll
  0xFEEF0000 \Windows\System32\Wldap32.dll
  0xFEE80000 \Windows\System32\gdi32.dll
  0xFEE30000 \Windows\System32\ws2_32.dll
  0xFEBD0000 \Windows\System32\iertutil.dll
  0xFDE40000 \Windows\System32\shell32.dll
  0xFDDA0000 \Windows\System32\clbcatq.dll
  0xFDBC0000 \Windows\System32\setupapi.dll
  0xFDB20000 \Windows\System32\msvcrt.dll
  0xFDAA0000 \Windows\System32\shlwapi.dll
  0x77100000 \Windows\System32\kernel32.dll
  0xFD970000 \Windows\System32\rpcrt4.dll
  0x773E0000 \Windows\System32\normaliz.dll
  0xFD8A0000 \Windows\System32\usp10.dll
  0xFD770000 \Windows\System32\wininet.dll
  0x77000000 \Windows\System32\user32.dll
  0xFD6D0000 \Windows\System32\comdlg32.dll
  0xFD550000 \Windows\System32\urlmon.dll
  0xFD510000 \Windows\System32\wintrust.dll
  0xFD3A0000 \Windows\System32\crypt32.dll
  0xFD330000 \Windows\System32\KernelBase.dll
  0xFD2F0000 \Windows\System32\cfgmgr32.dll
  0xFD250000 \Windows\System32\comctl32.dll
  0xFD230000 \Windows\System32\devobj.dll
  0xFD220000 \Windows\System32\msasn1.dll
  0x76C90000 \Windows\SysWOW64\normaliz.dll

Processes (total 75):
      0 System Idle Process
      4 System
    272 C:\Windows\System32\smss.exe
    388 csrss.exe
    448 C:\Windows\System32\wininit.exe
    468 csrss.exe
    512 C:\Windows\System32\services.exe
    528 C:\Windows\System32\lsass.exe
    536 C:\Windows\System32\lsm.exe
    644 C:\Windows\System32\svchost.exe
    700 C:\Windows\System32\winlogon.exe
    768 C:\Windows\SysWOW64\svchost.exe
    788 C:\Windows\SysWOW64\svchost.exe
    824 C:\Program Files\Fingerprint Sensor\ATService.exe
    848 C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe
    900 C:\Windows\System32\svchost.exe
    948 C:\Windows\System32\atiesrxx.exe
    316 C:\Windows\System32\svchost.exe
    592 C:\Windows\System32\svchost.exe
    924 C:\Windows\System32\svchost.exe
    1208 C:\Windows\System32\svchost.exe
    1296 C:\Windows\System32\atieclxx.exe
    1312 C:\Windows\System32\hpservice.exe
    1452 C:\Windows\System32\svchost.exe
    1548 C:\Windows\System32\wlanext.exe
    1556 C:\Windows\System32\conhost.exe
    1664 C:\Windows\System32\spoolsv.exe
    1716 C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
    1752 C:\Windows\System32\svchost.exe
    1792 C:\Program Files\ActivIdentity\ActivClient\acevents.exe
    1800 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    1872 C:\Windows\System32\svchost.exe
    2000 C:\Windows\System32\AEADISRV.EXE
    2024 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    1308 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1356 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
    1444 C:\Windows\System32\conhost.exe
    1964 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
    2084 C:\Program Files (x86)\Esker\Common\ESLCBcst.exe
    2124 C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
    2212 C:\Program Files (x86)\FRITZ!DSL\IGDCTRL.EXE
    2416 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    2508 C:\Program Files (x86)\UltraVNC\winvnc.exe
    2960 C:\Program Files (x86)\UltraVNC\winvnc.exe
    2148 C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
    2056 C:\Windows\System32\svchost.exe
    3088 C:\Windows\System32\svchost.exe
    3124 WmiPrvSE.exe
    3368 C:\Windows\System32\svchost.exe
    3408 C:\Program Files\Windows Media Player\wmpnetwk.exe
    148 C:\Windows\System32\SearchIndexer.exe
    2464 C:\Windows\System32\taskhost.exe
    1864 C:\Program Files (x86)\Hewlett-Packard\IAM\Bin\asghost.exe
    3464 C:\Windows\System32\dllhost.exe
    3568 C:\Windows\System32\rundll32.exe
    3712 C:\Windows\System32\dwm.exe
    3180 C:\Windows\explorer.exe
    1204 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    1004 C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe
    2924 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
    2952 C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
    2528 C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe
    1956 C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe
    1336 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
    1288 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
    4148 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    4212 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    4956 C:\Windows\System32\taskeng.exe
    4408 taskhost.exe
    356 C:\Windows\System32\svchost.exe
    2676 C:\Windows\System32\SearchProtocolHost.exe
    4536 C:\Windows\System32\SearchFilterHost.exe
    4224 C:\Users\Christian\Desktop\MBRCheck.exe
    2188 C:\Windows\System32\conhost.exe
    2672 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHM250HI, Rev: 2AC101C4

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0  Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

cosinus 12.02.2011 13:31
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

chris1309 12.02.2011 14:21
Hallo, hier schon mal der Log von Malewarebytes:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5747

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.02.2011 14:17:32
mbam-log-2011-02-12 (14-17-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 328441
Laufzeit: 38 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 12.02.2011 15:27
Sieht schonmal gut aus :daumenhoc

chris1309 13.02.2011 16:19
sieht auch gut aus:

Code:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/12/2011 bei 04:43 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6386
Version der Spur-Datenbank : 4198

Scan Art      : kompletter Scann
Totale Scann-Zeit : 02:15:27

Gescannte Speicherelemente  : 696
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 15999
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 173079
Erfasste Datei-Elemente  : 0
Dann nochmal vielen Dank für deine Hilfe!!!
Gruß Christian :dankeschoen:

cosinus 13.02.2011 20:47
Ok, keine Funde. Rechner wieder ok? :)

chris1309 13.02.2011 21:28
Ja, läuft alles wieder in normaler Geschwindigkeit...danke!!!

cosinus 13.02.2011 21:46
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

chris1309 15.02.2011 09:45
So jetzt müsste alles up to date sein...
:dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131