Trojaner-Board - Trojaner 40 Tans

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner 40 Tans (https://www.trojaner-board.de/95856-trojaner-40-tans.html)

Trojaner 40 Tans

Hallo,

habe mir den "40-Tan-Trojaner" eingefangen. (alle Passwörter geändert, Online-Konto bereits gesperrt)
Ich arbeite mit "Avira AntiVir" und "Spybot".

Die gewünschten .log und .txt Dateien habe ich erzeugt. Leider gibt es ein Problem beim ausführen von OTL.exe.
Der Scan läuft an, hängt sich aber bei "Scanning FireFox settings..." auf, bzw. erscheint die Meldung "Keine Rückmeldung".

Hier die drei erzeugten Dateien:

Log von MBAM:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5810

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

19.02.2011 18:39:01
mbam-log-2011-02-19 (18-39-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142549
Laufzeit: 6 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{6DF1716C-49E5-B24B-BF3D-C530C31D4906} (Spyware.Passwords.XGen) -> Value: {6DF1716C-49E5-B24B-BF3D-C530C31D4906} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\***\AppData\Roaming\Ocet\boiz.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

defogger_disable.log

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:44 on 19/02/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

gmer.txt siehe Anhang als .zip

Was muss ich machen damit OTL.exe durchgängig läuft? (Während des Scans waren alle Programme geschlossen...)

Herzlichen Dank und schönen Abend!

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo,

hier die mbam-log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5817

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.02.2011 11:57:44
mbam-log-2011-02-20 (11-57-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 246758
Laufzeit: 1 Stunde(n), 5 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{6DF1716C-49E5-B24B-BF3D-C530C31D4906} (Trojan.ZbotR.Gen) -> Value: {6DF1716C-49E5-B24B-BF3D-C530C31D4906} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Vielen Danke und schönen Sonntag!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

nö, hatte das Programm nur die zweimal laufen lassen...

Viele Grüße!

Probier OTL mal so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

funktioniert leider auch nicht...
hier mal der dazugehörige screen-shot

OTL per Rechtsklick als Admin ausgeführt??

Hallo,

ja, hab alles per Admin ausgeführt...

Gruß

Dann probier OTL mal im abgesicherten Modus von Windows.

Guten Morgen,

entschuldige, dass ich mich jetzt erst wieder melde. War die letzten Tage unterwegs...

Hab' gerade versucht OTL im abgesicherten Modus auszuführen - funktioniert aber auch nicht.

Viele Grüße

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,

hier die log.txt:

Combofix Logfile:

Code:

ComboFix 11-02-28.07 - *** 01.03.2011  18:08:24.1.2 - x86

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.2046.1315 [GMT 1:00]

ausgeführt von:: c:\users\***\Desktop\cofi.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2011-02-01 bis 2011-03-01  ))))))))))))))))))))))))))))))

.
 

2011-03-01 17:16 . 2011-03-01 17:16        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-02-19 17:29 . 2011-02-19 17:30        --------        d-----w-        c:\program files\ERUNT

2011-02-19 17:21 . 2011-02-19 17:21        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2011-02-19 17:21 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-02-19 17:21 . 2011-02-19 17:21        --------        d-----w-        c:\programdata\Malwarebytes

2011-02-19 17:20 . 2011-02-19 17:21        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-02-19 17:20 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-02-19 16:19 . 2011-02-19 16:19        --------        d-----w-        C:\_OTL

2011-02-19 14:51 . 2011-02-19 15:25        --------        d-----w-        c:\programdata\Spybot - Search & Destroy

2011-02-19 14:51 . 2011-02-19 14:51        --------        d-----w-        c:\program files\Spybot - Search & Destroy

2011-02-19 14:16 . 2011-02-19 14:16        --------        d-----w-        c:\windows\Downloaded Installations

2011-02-19 14:16 . 2011-02-19 14:55        --------        d-----w-        c:\program files\Common Files\Scanner

2011-02-19 14:13 . 2011-02-19 16:23        --------        d-----w-        c:\programdata\CA

2011-02-17 14:38 . 2011-02-17 14:38        --------        d-----w-        c:\users\***\AppData\Local\Ahead

2011-02-17 14:33 . 2005-07-26 16:13        2973696        ------w-        c:\windows\UNNMP.exe

2011-02-17 14:31 . 2011-02-17 14:31        --------        d-----w-        c:\program files\Common Files\Nero

2011-02-17 14:30 . 2005-07-08 15:31        2973696        ------w-        c:\windows\UNNeroVision.exe

2011-02-17 14:29 . 2011-02-17 14:29        --------        d-----w-        c:\programdata\Ahead

2011-02-17 14:29 . 2004-07-26 16:16        476320        ------w-        c:\windows\system32\ImagXpr7.dll

2011-02-17 14:29 . 2004-07-26 16:16        471040        ------w-        c:\windows\system32\ImagXRA7.dll

2011-02-17 14:29 . 2004-07-26 16:16        262144        ------w-        c:\windows\system32\ImagXR7.dll

2011-02-17 14:29 . 2004-07-26 16:16        1568768        ------w-        c:\windows\system32\ImagX7.dll

2011-02-17 14:29 . 2004-07-09 08:43        364544        ------w-        c:\windows\system32\TwnLib4.dll

2011-02-17 14:29 . 2000-06-26 10:45        106496        ----a-w-        c:\windows\system32\TwnLib20.dll

2011-02-17 14:11 . 1998-02-06 20:37        299520        ----a-w-        c:\windows\uninst.exe

2011-02-17 13:41 . 2011-02-17 13:41        --------        d-----w-        c:\users\***\AppData\Local\assembly

2011-02-17 13:35 . 2011-02-17 13:37        --------        d-----w-        c:\users\***\AppData\Local\Autoplay Menu Designer

2011-02-17 13:35 . 2011-02-17 13:35        --------        d-----w-        c:\users\***\AppData\Roaming\SoftLocalizer

2011-02-17 13:33 . 2011-02-17 13:33        --------        d-----w-        c:\program files\Visual Designing

2011-02-17 13:30 . 2011-02-17 13:30        --------        d-----w-        c:\program files\Common Files\Wise Installation Wizard

2011-02-15 16:23 . 2011-02-15 16:23        --------        d-----w-        c:\users\***\AppData\Roaming\jaws

2011-02-15 16:23 . 2011-02-17 14:05        --------        d-----w-        c:\users\***\AppData\Roaming\Global Graphics

2011-02-15 16:05 . 2011-02-17 14:05        --------        d-----w-        c:\programdata\Global Graphics

2011-02-15 15:54 . 2011-02-15 15:54        --------        d-----w-        c:\program files\Conduit

2011-02-15 15:48 . 2011-02-15 16:03        --------        d-----w-        c:\program files\Tracker Software

2011-02-13 11:35 . 2011-02-13 11:35        --------        d-----w-        c:\users\***\AppData\Roaming\Avira

2011-02-13 11:27 . 2011-01-10 13:23        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-02-13 11:27 . 2011-01-10 13:23        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-02-13 11:27 . 2011-02-13 11:27        --------        d-----w-        c:\programdata\Avira

2011-02-13 11:27 . 2011-02-13 11:27        --------        d-----w-        c:\program files\Avira

2011-02-09 15:42 . 2011-02-09 15:42        181608        ----a-w-        c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10137.bin

2011-02-09 15:28 . 2011-01-05 03:37        2329088        ----a-w-        c:\windows\system32\win32k.sys

2011-02-09 15:28 . 2010-12-18 05:29        541184        ----a-w-        c:\windows\system32\kerberos.dll

2011-02-09 15:26 . 2010-10-27 04:43        3901824        ----a-w-        c:\windows\system32\ntoskrnl.exe

2011-02-09 15:26 . 2010-10-27 04:40        1289536        ----a-w-        c:\windows\system32\ntdll.dll

2011-02-09 15:26 . 2010-10-27 04:43        3957120        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2011-02-09 15:24 . 2011-01-05 05:37        428032        ----a-w-        c:\windows\system32\vbscript.dll

2011-02-09 15:22 . 2011-01-07 07:27        34304        ----a-w-        c:\windows\system32\atmlib.dll

2011-02-09 15:22 . 2011-01-07 05:33        294400        ----a-w-        c:\windows\system32\atmfd.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-02 16:11 . 2009-10-11 20:58        222080        ------w-        c:\windows\system32\MpSigStub.exe

2010-08-01 12:12 . 2010-08-01 12:12        119808        ----a-w-        c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 144384]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]

"RtHDVCpl"="RtHDVCpl.exe" [2007-05-29 4472832]

"Skytel"="Skytel.exe" [2007-05-29 1826816]

"PLFSet"="c:\windows\PLFSet.dll" [2007-04-24 45056]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 178712]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]

"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2005-03-18 98304]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]

"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]

"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-06-15 850704]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-01 30192]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
 

c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20 38912]

Mozilla Thunderbird.lnk - c:\program files\Mozilla Thunderbird\thunderbird.exe [2008-1-7 12584112]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-7-4 535336]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~4\GoogleDesktopNetwork3.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-16 133104]

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]

R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-08-01 30192]

R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2009-07-24 25112]

R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]

S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper

.

Inhalt des "geplante Tasks" Ordners
 

2011-03-01 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-11-26 10:05]
 

2011-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-16 15:35]
 

2011-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-16 15:35]

.

.

------- Zusätzlicher Suchlauf -------

.

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

uStart Page = hxxp://de.intl.acer.yahoo.com

mStart Page = hxxp://de.intl.acer.yahoo.com

uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\l0wwltcd.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2469302&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: AvantGarde Skylight: {d62e0de0-401b-11dd-ae16-0800200c9a66} - %profile%\extensions\{d62e0de0-401b-11dd-ae16-0800200c9a66}

FF - Ext: AvantGarde Rosepetal: {9f94fab0-58a2-11dd-ae16-0800200c9a66} - %profile%\extensions\{9f94fab0-58a2-11dd-ae16-0800200c9a66}

FF - Ext: Mein Gutscheincode Finder: finder@meingutscheincode.de - %profile%\extensions\finder@meingutscheincode.de

FF - Ext: Winload Toolbar: {40c3cc16-7269-4b32-9531-17f2950fb06f} - %profile%\extensions\{40c3cc16-7269-4b32-9531-17f2950fb06f}

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Google Gears: {000a9d1c-beef-4f90-9363-039d445309b8} - c:\program files\Google\Google Gears\Firefox

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe

AddRemove-OrderReminder HP LaserJet 1020 - c:\program files\Hewlett-Packard\OrderReminder\uninstall\hpuninstaller.exe
 
 
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]

"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-03-01  18:19:52

ComboFix-quarantined-files.txt  2011-03-01 17:19
 

Vor Suchlauf: 18 Verzeichnis(se), 40.932.634.624 Bytes frei

Nach Suchlauf: 26 Verzeichnis(se), 40.708.526.080 Bytes frei
 

- - End Of File - - 69ADD78FDCB64EF6624F61EFA9C5E0

--- --- ---

Viele Grüße!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hallo,

hier schon mal die .txt von GMER:

GMER Logfile:

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2011-03-02 09:39:03

Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 Hitachi_HTS541616J9SA00 rev.SB4OC70P

Running: g2m3e4r.exe; Driver: C:\Users\Sabrina\AppData\Local\Temp\agrdrfob.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                             82E8B589 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                      82EB0092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                    section is writeable [0x8F018000, 0x2D5378, 0xE8000020]
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE[2544] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE[2544] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE[2544] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

IAT             C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE[2544] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                     Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                     Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                      rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                      rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                      rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
 

Device          \Driver\ACPI_HAL \Device\0000004e                                                                                           halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

AttachedDevice  \FileSystem\fastfat \Fat                                                                                                    fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b          0x2E 0xE8 0xE1 0x00 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b          0x6A 0x9C 0xD6 0x61 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016          0xFF 0x7C 0x85 0xE0 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48          0x3E 0x1E 0x9E 0xE0 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472          0xF5 0x1D 0x4D 0x73 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d          0xB0 0x18 0xED 0xA7 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b          0x31 0x77 0xE1 0xBA ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d          0x01 0x3A 0x48 0xFC ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3          0xF6 0x0F 0x4E 0x58 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b          0xB1 0xCD 0x45 0x5A ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6          0xE3 0x0E 0x66 0xD5 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                           

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                            Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                          C:\Windows\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2          0x6C 0x43 0x2D 0x1E ...
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Der Link zu OSAM.exe funktioniert leider nicht. Hast du noch einen anderen?

Danke schön und viele Grüße!

hat geklappt, hier der Rest:

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 13:36:04 on 02.03.2011
 

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit

Default Browser: Mozilla Corporation Firefox 3.6.13
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[AppInit DLLs]

-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----

"AppInit_DLLs" - "Google" - C:\PROGRA~1\Google\GOOGLE~4\GoogleDesktopNetwork3.dll
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"Google Software Updater.job" - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
 

[Control Panel Objects]

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\MLCFG32.CPL

"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys

"AVM Eject" (avmeject) - "AVM Berlin" - C:\Windows\System32\drivers\avmeject.sys

"catchme" (catchme) - ? - C:\Users\***\AppData\Local\Temp\catchme.sys  (File not found)

"Initio Driver for USB Default Controller" (ivusb) - "Initio Corporation" - C:\Windows\System32\DRIVERS\ivusb.sys

"int15" (int15) - ? - C:\Windows\system32\drivers\int15.sys  (File found, but it contains no detailed information)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

"Symantec Eraser Control driver" (eeCtrl) - "Symantec Corporation" - C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys

"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\Windows\System32\DRIVERS\NTIDrvr.sys

"{95808DC4-FA4A-4c74-92FE-5B863F82066B}" ({95808DC4-FA4A-4c74-92FE-5B863F82066B}) - "Cyberlink Corp." - C:\Program Files\CyberLink\PowerDVD\000.fcl
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----

{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)

{79BC0345-1015-11D2-A299-006008312725} "///FAST project settings" - ? - C:\Program Files\Pinnacle\VideoSpin\Programs\BlueShellExt.dll  (File not found)

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll

{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)

{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)

{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)

{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONFILTER.DLL

{00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\MLSHEXT.DLL

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\OLKFSTUB.DLL

{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - ? -   (File not found | COM-object registry key not found)

{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - ? -   (File not found | COM-object registry key not found)

{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - ? -   (File not found | COM-object registry key not found)

{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)

{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll

{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll  (File found, but it contains no detailed information)

XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "{472734EA-242A-422B-ADF8-83D1E48CC825}" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----

{EF99BD32-C1FB-11D2-892F-0090271D4F88} "Yahoo! Toolbar mit Pop-Up-Blocker" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} "{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}" - ? -   (File not found | COM-object registry key not found) / hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

{0B4350D1-055F-47A3-B112-5F2F2B0D6F08} "ClsidExtension" - "Google Inc." - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll

{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} "Google Gears Helper" - "Google Inc." - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

"ERUNT AutoBackup.lnk" - ? - C:\Program Files\ERUNT\AUTOBACK.EXE  (Shortcut exists | File found, but it contains no detailed information | File exists)

"Mozilla Thunderbird.lnk" - "Mozilla Messaging" - C:\Program Files\Mozilla Thunderbird\thunderbird.exe  (Shortcut exists | File exists)

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

"Empowering Technology Launcher.lnk" - "Acer Inc." - C:\Acer\Empowering Technology\eAPLauncher.exe  (Shortcut exists | File exists)

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"SpybotSD TeaTimer" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----

"StartupPrograms" - ? - rdpclip  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

"Google Desktop Search" - "Google" - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

"IAAnotif" - "Intel Corporation" - "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

"LanguageShortcut" - ? - "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

"LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\LManager.exe

"lxbkbmgr.exe" - "Lexmark International, Inc." - "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

"NeroFilterCheck" - "Ahead Software Gmbh" - C:\Windows\system32\NeroCheck.exe

"OrderReminder" - "Hewlett-Packard" - C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

"RemoteControl" - "Cyberlink Corp." - "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

"WarReg_PopUp" - "Acer Inc." - C:\Acer\WR_PopUp\WarReg_PopUp.exe
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"PDF995 Monitor" - ? - C:\Windows\system32\pdf995mon.dll  (File found, but it contains no detailed information)

"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"@C:\Program Files\NOS\bin\getPlus_Helper.dll,-101" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper.dll

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe

"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

"eRecovery Service" (eRecoveryService) - "Acer Inc." - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

"Google Desktop Manager 5.9.1005.12335" (GoogleDesktopManager-051210-111108) - "Google" - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE

"MobilityService" (MobilityService) - ? - C:\Acer\Mobility Center\MobilityService.exe  (File found, but it contains no detailed information)

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

"SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

"SQL Server-Browser" (SQLBrowser) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

"SQL Server-Startdienst für Business Contact Manager" (BcmSqlStartupSvc) - "Microsoft Corporation" - C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und hier die MBR.txt

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: Acer
BIOS Manufacturer: Phoenix Technologies LTD
System Manufacturer: Acer
System Product Name: TravelMate 7720
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 199):
0x82E3B000 \SystemRoot\system32\ntkrnlpa.exe
0x82E04000 \SystemRoot\system32\halmacpi.dll
0x80BA8000 \SystemRoot\system32\kdcom.dll
0x88822000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8889A000 \SystemRoot\system32\PSHED.dll
0x888AB000 \SystemRoot\system32\BOOTVID.dll
0x888B3000 \SystemRoot\system32\CLFS.SYS
0x888F5000 \SystemRoot\system32\CI.dll
0x88A1E000 \SystemRoot\system32\drivers\Wdf01000.sys
0x88A8F000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x88A9D000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x88AE5000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x88AEE000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x88AF6000 \SystemRoot\system32\DRIVERS\pci.sys
0x88B20000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x88B2B000 \SystemRoot\System32\drivers\partmgr.sys
0x88B3C000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x88B44000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x88B4F000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x88B5F000 \SystemRoot\System32\drivers\volmgrx.sys
0x88BAA000 \SystemRoot\system32\DRIVERS\intelide.sys
0x88BB1000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x88BBF000 \SystemRoot\system32\DRIVERS\pcmcia.sys
0x88A00000 \SystemRoot\System32\drivers\mountmgr.sys
0x88BED000 \SystemRoot\system32\DRIVERS\atapi.sys
0x889A0000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x88BF6000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x889C3000 \SystemRoot\system32\drivers\fltmgr.sys
0x88800000 \SystemRoot\system32\drivers\fileinfo.sys
0x88C06000 \SystemRoot\System32\Drivers\Ntfs.sys
0x88D35000 \SystemRoot\System32\Drivers\msrpc.sys
0x88D60000 \SystemRoot\System32\Drivers\ksecdd.sys
0x88D73000 \SystemRoot\System32\Drivers\cng.sys
0x88DD0000 \SystemRoot\System32\drivers\pcw.sys
0x88DDE000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x88E19000 \SystemRoot\system32\drivers\ndis.sys
0x88ED0000 \SystemRoot\system32\drivers\NETIO.SYS
0x88F0E000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8901D000 \SystemRoot\System32\drivers\tcpip.sys
0x89166000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x89197000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x891D6000 \SystemRoot\System32\Drivers\spldr.sys
0x88F33000 \SystemRoot\System32\drivers\rdyboost.sys
0x891DE000 \SystemRoot\System32\Drivers\mup.sys
0x891EE000 \SystemRoot\System32\drivers\hwpolicy.sys
0x88F60000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x89000000 \SystemRoot\system32\DRIVERS\disk.sys
0x88F92000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x88FD5000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x88FF4000 \SystemRoot\System32\Drivers\Null.SYS
0x88E00000 \SystemRoot\System32\Drivers\Beep.SYS
0x88E07000 \SystemRoot\System32\drivers\vga.sys
0x8EA29000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8EA4A000 \SystemRoot\System32\drivers\watchdog.sys
0x8EA57000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8EA5F000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8EA67000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8EA6F000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8EA7A000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8EA88000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8EA9F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8EAAA000 \SystemRoot\system32\drivers\afd.sys
0x8EB04000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8EB36000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8EB3D000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8EB5C000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8EB6A000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8EB7D000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8EB8D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8EB93000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8EBD4000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8EBDE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8EC3D000 \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
0x8EC9D000 \SystemRoot\System32\drivers\discache.sys
0x8ECA9000 \SystemRoot\System32\Drivers\dfsc.sys
0x8ECC1000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8ECCF000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8ECF5000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8ED16000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8ED28000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8F20B000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x8F720000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8ED31000 \SystemRoot\System32\Drivers\fastfat.SYS
0x8ED5B000 \SystemRoot\System32\drivers\dxgmms1.sys
0x8F7D7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8ED94000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8F7E2000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8EDDF000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8EC00000 \SystemRoot\system32\DRIVERS\b57nd60x.sys
0x91013000 \SystemRoot\system32\DRIVERS\netw5v32.sys
0x91426000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x91452000 \SystemRoot\system32\drivers\tifm21.sys
0x9149E000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x914B7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x914BB000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x914D3000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0x914DD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x914EA000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x91515000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x91517000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x91524000 \SystemRoot\system32\DRIVERS\nscirda.sys
0x9152C000 \SystemRoot\system32\drivers\irenum.sys
0x91535000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0x91537000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x91544000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x91556000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x9156E000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x91579000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x9159B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x915B3000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x915CA000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x915E1000 \SystemRoot\system32\DRIVERS\swenum.sys
0x9562C000 \SystemRoot\system32\DRIVERS\ks.sys
0x95660000 \SystemRoot\system32\DRIVERS\umbus.sys
0x9566E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x956B2000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x81E03000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x81FB5000 \SystemRoot\system32\drivers\portcls.sys
0x81FE4000 \SystemRoot\system32\drivers\drmk.sys
0x956C3000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x82236000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x82339000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x823ED000 \SystemRoot\system32\drivers\modem.sys
0x824C0000 \SystemRoot\System32\win32k.sys
0x82200000 \SystemRoot\System32\drivers\Dxapi.sys
0x8220A000 \SystemRoot\System32\Drivers\crashdmp.sys
0x82217000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x82222000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x95700000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x95807000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0x959AE000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0x959BC000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0x959C3000 \SystemRoot\system32\DRIVERS\monitor.sys
0x82720000 \SystemRoot\System32\TSDDD.dll
0x82750000 \SystemRoot\System32\cdd.dll
0x959CE000 \SystemRoot\system32\drivers\luafv.sys
0x959E9000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x95711000 \SystemRoot\system32\drivers\WudfPf.sys
0x9572B000 \SystemRoot\system32\DRIVERS\irda.sys
0x95749000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x95759000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x9579F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x957AF000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9BC2C000 \SystemRoot\system32\drivers\HTTP.sys
0x9BCB1000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9BCCA000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9BCDC000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9BCFF000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9BD3A000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9BD6D000 \??\C:\Windows\system32\drivers\int15.sys
0x9BD7E000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9FA17000 \SystemRoot\system32\drivers\peauth.sys
0x9FAAE000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9FAB8000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9FAD9000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9FAE6000 \SystemRoot\system32\DRIVERS\xaudio.sys
0x9FAEE000 \??\C:\Program Files\CyberLink\PowerDVD\000.fcl
0x9FAF0000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9FB3F000 \SystemRoot\System32\DRIVERS\srv.sys
0x9FA00000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x76F60000 \Windows\System32\ntdll.dll
0x47F70000 \Windows\System32\smss.exe
0x771A0000 \Windows\System32\apisetschema.dll
0x005E0000 \Windows\System32\autochk.exe
0x76D60000 \Windows\System32\iertutil.dll
0x770B0000 \Windows\System32\kernel32.dll
0x76CB0000 \Windows\System32\msvcrt.dll
0x76060000 \Windows\System32\shell32.dll
0x75EC0000 \Windows\System32\setupapi.dll
0x75E80000 \Windows\System32\ws2_32.dll
0x75E30000 \Windows\System32\gdi32.dll
0x75DB0000 \Windows\System32\comdlg32.dll
0x75CE0000 \Windows\System32\user32.dll
0x770A0000 \Windows\System32\nsi.dll
0x75CD0000 \Windows\System32\normaliz.dll
0x75C00000 \Windows\System32\msctf.dll
0x75B70000 \Windows\System32\oleaut32.dll
0x75B60000 \Windows\System32\lpk.dll
0x75B30000 \Windows\System32\imagehlp.dll
0x75A80000 \Windows\System32\rpcrt4.dll
0x75940000 \Windows\System32\urlmon.dll
0x758A0000 \Windows\System32\advapi32.dll
0x757A0000 \Windows\System32\wininet.dll
0x75740000 \Windows\System32\shlwapi.dll
0x756E0000 \Windows\System32\difxapi.dll
0x756C0000 \Windows\System32\imm32.dll
0x756A0000 \Windows\System32\sechost.dll
0x75610000 \Windows\System32\clbcatq.dll
0x75570000 \Windows\System32\usp10.dll
0x75410000 \Windows\System32\ole32.dll
0x753C0000 \Windows\System32\Wldap32.dll
0x753B0000 \Windows\System32\psapi.dll
0x75380000 \Windows\System32\wintrust.dll
0x75360000 \Windows\System32\devobj.dll
0x752D0000 \Windows\System32\comctl32.dll
0x751B0000 \Windows\System32\crypt32.dll
0x75180000 \Windows\System32\cfgmgr32.dll
0x75130000 \Windows\System32\KernelBase.dll
0x75120000 \Windows\System32\msasn1.dll

Processes (total 67):
0 System Idle Process
4 System
276 C:\Windows\System32\smss.exe
396 csrss.exe
472 C:\Windows\System32\wininit.exe
484 csrss.exe
528 C:\Windows\System32\services.exe
544 C:\Windows\System32\lsass.exe
552 C:\Windows\System32\lsm.exe
612 C:\Windows\System32\winlogon.exe
712 C:\Windows\System32\svchost.exe
812 C:\Windows\System32\svchost.exe
856 C:\Windows\System32\atiesrxx.exe
936 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
1024 C:\Windows\System32\svchost.exe
1104 C:\Windows\System32\audiodg.exe
1144 C:\Windows\System32\svchost.exe
1224 C:\Windows\System32\atieclxx.exe
1284 C:\Windows\System32\svchost.exe
1548 C:\Windows\System32\spoolsv.exe
1604 C:\Windows\System32\dwm.exe
1612 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1624 C:\Windows\explorer.exe
1672 C:\Windows\System32\svchost.exe
1892 C:\Windows\System32\taskhost.exe
1928 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1964 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
2008 C:\Windows\System32\svchost.exe
112 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
416 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
644 C:\Windows\RtHDVCpl.exe
1204 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
1792 C:\Program Files\Lexmark X1100 Series\LXBKbmgr.exe
2068 C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
2088 C:\Program Files\Google\Update\1.2.183.39\GoogleCrashHandler.exe
2116 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
2136 C:\Program Files\Lexmark X1100 Series\LXBKbmon.exe
2356 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
2364 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2372 C:\Windows\System32\conhost.exe
2408 C:\Acer\Mobility Center\MobilityService.exe
2556 C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe
2680 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
2716 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
2812 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
2868 C:\Windows\System32\svchost.exe
2928 C:\Windows\System32\drivers\XAudio.exe
3012 C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
3096 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
3468 WmiPrvSE.exe
3624 C:\Windows\System32\SearchIndexer.exe
3880 C:\Windows\System32\svchost.exe
4056 C:\Program Files\Windows Media Player\wmpnetwk.exe
1888 C:\Program Files\Launch Manager\LManager.exe
2160 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
2060 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
952 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2452 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
1580 C:\Windows\System32\svchost.exe
968 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
5396 C:\Windows\System32\svchost.exe
2028 C:\Windows\System32\svchost.exe
1780 C:\Program Files\Mozilla Firefox\firefox.exe
4224 C:\Users\***\Desktop\MBRCheck.exe
196 C:\Windows\System32\conhost.exe
1584 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`71100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000013`da600000 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS541616J9SA00, Rev: SB4OC70P

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Done!

:dankeschoen:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier die mbam.log

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5929

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.03.2011 15:50:46
mbam-log-2011-03-02 (15-50-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 251017
Laufzeit: 1 Stunde(n), 7 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier die SUPERAntiSpyware Scan Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/02/2011 at 05:24 PM

Application Version : 4.49.1000

Core Rules Database Version : 6512
Trace Rules Database Version: 4324

Scan type : Complete Scan
Total Scan Time : 01:22:37

Memory items scanned : 741
Memory threats detected : 0
Registry items scanned : 10449
Registry threats detected : 0
File items scanned : 111504
File threats detected : 14

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@overture[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@partypoker[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@www.mynortonaccount[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@www.googleadservices[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.heias[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tribalfusion[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@hmt.connexpromotions[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@www.windowsmedia[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@realmedia[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@youporn[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@indexstats[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@clickbooth[2].txt

hoffe das nun alles wieder gut ist ;-)

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

nö, nix weiter bemerkt...

ich danke dir!

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ich danke dir für deine unglaublich gute hilfe!!!

bin echt begeistert, dass alles noch so glimpflich abgegangen ist... :applaus:

:dankeschoen: