Trojaner-Board - AVAST findet Bootkit?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AVAST findet Bootkit? (https://www.trojaner-board.de/96334-avast-findet-bootkit.html)

Führ nochmal CFaus mit einer neuen cofi.exe

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix:
Combofix Logfile:

Code:

ComboFix 11-03-09.05 - Matthias 10.03.2011  19:39:12.4.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1527.1033 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Matthias\Desktop\cofi.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: Panda Cloud Antivirus *Disabled/Updated* {5AD27692-540A-464E-B625-78275FA38393}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\CFLog

c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Temporary Internet Files\9O01H4pe

c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Temporary Internet Files\CHaL_ND

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-02-10 bis 2011-03-10  ))))))))))))))))))))))))))))))

.

.

2011-03-07 19:32 . 2011-03-07 19:32        --------        d-----w-        C:\_OTL

2011-02-16 14:40 . 2008-05-21 11:19        1048576        ----a-w-        C:\T20.BIN

2011-02-16 14:37 . 2011-02-16 14:37        --------        d-----w-        C:\Intel

2011-02-16 13:50 . 2011-03-10 18:22        --------        d-----w-        C:\Downloads

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-19 17:56 . 2008-12-08 20:07        219136        ----a-w-        c:\windows\system32\uxtheme.dll

2011-02-09 13:53 . 2003-04-02 11:00        270848        ----a-w-        c:\windows\system32\sbe.dll

2011-02-09 13:53 . 2003-04-02 11:00        186880        ----a-w-        c:\windows\system32\encdec.dll

2011-01-29 22:16 . 2011-01-29 22:16        30056        ----a-w-        c:\windows\system32\MASetupCleaner.exe

2011-01-29 16:00 . 2011-01-29 16:00        90112        ----a-w-        c:\windows\MAMCityDownload.ocx

2011-01-29 16:00 . 2011-01-29 16:00        325552        ----a-w-        c:\windows\MASetupCaller.dll

2011-01-29 16:00 . 2011-01-29 16:00        81920        ----a-w-        c:\windows\system32\issacapi_bs-2.3.dll

2011-01-29 16:00 . 2011-01-29 16:00        65536        ----a-w-        c:\windows\system32\issacapi_pe-2.3.dll

2011-01-29 16:00 . 2011-01-29 16:00        57344        ----a-w-        c:\windows\system32\MTXSYNCICON.dll

2011-01-29 16:00 . 2011-01-29 16:00        57344        ----a-w-        c:\windows\system32\MK_Lyric.dll

2011-01-29 16:00 . 2011-01-29 16:00        57344        ----a-w-        c:\windows\system32\issacapi_se-2.3.dll

2011-01-29 16:00 . 2011-01-29 16:00        569344        ----a-w-        c:\windows\system32\muzdecode.ax

2011-01-29 16:00 . 2011-01-29 16:00        491520        ----a-w-        c:\windows\system32\muzapp.dll

2011-01-29 16:00 . 2011-01-29 16:00        49152        ----a-w-        c:\windows\system32\MaJGUILib.dll

2011-01-29 16:00 . 2011-01-29 16:00        45056        ----a-w-        c:\windows\system32\MaXMLProto.dll

2011-01-29 16:00 . 2011-01-29 16:00        45056        ----a-w-        c:\windows\system32\MACXMLProto.dll

2011-01-29 16:00 . 2011-01-29 16:00        40960        ----a-w-        c:\windows\system32\MTTELECHIP.dll

2011-01-29 16:00 . 2011-01-29 16:00        40960        ----a-w-        c:\windows\system32\MAMACExtract.dll

2011-01-29 16:00 . 2011-01-29 16:00        352256        ----a-w-        c:\windows\system32\MSLUR71.dll

2011-01-29 16:00 . 2011-01-29 16:00        258048        ----a-w-        c:\windows\system32\muzoggsp.ax

2011-01-29 16:00 . 2011-01-29 16:00        245760        ----a-w-        c:\windows\system32\MSCLib.dll

2011-01-29 16:00 . 2011-01-29 16:00        200704        ----a-w-        c:\windows\system32\muzwmts.dll

2011-01-29 16:00 . 2011-01-29 16:00        155648        ----a-w-        c:\windows\system32\MSFLib.dll

2011-01-29 16:00 . 2011-01-29 16:00        143360        ----a-w-        c:\windows\system32\3DAudio.ax

2011-01-29 16:00 . 2011-01-29 16:00        135168        ----a-w-        c:\windows\system32\muzaf1.dll

2011-01-29 16:00 . 2011-01-29 16:00        131072        ----a-w-        c:\windows\system32\muzmpgsp.ax

2011-01-29 16:00 . 2011-01-29 16:00        122880        ----a-w-        c:\windows\system32\muzeffect.ax

2011-01-29 16:00 . 2011-01-29 16:00        118784        ----a-w-        c:\windows\system32\MaDRM.dll

2011-01-29 16:00 . 2011-01-29 16:00        110592        ----a-w-        c:\windows\system32\muzmp4sp.ax

2011-01-21 14:44 . 2003-04-02 11:00        8503296        ----a-w-        c:\windows\system32\shell32_original.dll

2011-01-21 14:44 . 2003-04-02 11:00        440832        ----a-w-        c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2003-04-02 11:00        290048        ----a-w-        c:\windows\system32\atmfd.dll

2010-12-31 14:03 . 2003-04-02 11:00        1855104        ----a-w-        c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2003-04-02 11:00        301568        ----a-w-        c:\windows\system32\kerberos.dll

2010-12-20 23:52 . 2003-04-02 11:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-12-20 23:52 . 2003-04-02 11:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2010-12-20 23:52 . 2003-04-02 11:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2010-12-20 22:14 . 2010-12-20 22:14        81920        ------w-        c:\windows\system32\ieencode.dll

2010-12-20 17:25 . 2003-04-02 11:00        737792        ----a-w-        c:\windows\system32\lsasrv.dll

2010-12-16 17:39 . 2010-12-16 17:39        365888        ----a-w-        c:\windows\system32\PSUNCpl.cpl

2010-12-16 17:12 . 2010-12-16 17:12        113096        ----a-w-        c:\windows\system32\drivers\PSINProt.sys

2010-12-16 17:12 . 2010-12-16 17:12        111944        ----a-w-        c:\windows\system32\drivers\PSINProc.sys

2010-12-16 17:12 . 2010-12-16 17:12        130376        ----a-w-        c:\windows\system32\drivers\PSINKNC.sys

2010-12-16 17:12 . 2010-12-16 17:12        97352        ----a-w-        c:\windows\system32\drivers\PSINFile.sys

2010-12-16 17:12 . 2010-12-16 17:12        141768        ----a-w-        c:\windows\system32\drivers\PSINAflt.sys

.

.

------- Sigcheck -------

.

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys

[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys

[-] 2008-06-20 . 4AFB3B0919649F95C1964AA1FAD27D73 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-02-23 15:04        122512        ----a-w-        c:\programme\AVAST Software\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]

@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"

[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]

2010-12-16 17:18        320832        ----a-w-        c:\programme\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]

@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"

[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]

2010-12-16 17:18        320832        ----a-w-        c:\programme\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]

"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast"="c:\programme\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"PSUNMain"="c:\programme\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-02-24 423232]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 0 (0x0)

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 22:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AVer HID Receiver.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AVer HID Receiver.lnk

backup=c:\windows\pss\AVer HID Receiver.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AVerQuick.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AVerQuick.lnk

backup=c:\windows\pss\AVerQuick.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk

backup=c:\windows\pss\Windows Search.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2007-11-06 14:39        69632        ----a-w-        c:\windows\Alcmtr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrowserChoice]

2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 06:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

2010-01-13 10:46        166912        ----a-w-        c:\windows\system32\hkcmd.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

2010-01-13 10:46        134656        ----a-w-        c:\windows\system32\igfxtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-03-01 20:45        421160        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]

2011-01-29 22:11        888120        ----a-w-        c:\programme\Samsung\Kies\KiesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]

2011-01-29 22:11        3372856        ----a-w-        c:\programme\Samsung\Kies\KiesTrayAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2010-01-13 10:46        135680        ----a-w-        c:\windows\system32\igfxpers.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

2010-04-12 08:40        180224        ----a-w-        c:\programme\PowerISO\PWRISOVM.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 16:38        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2007-11-06 14:40        16384512        ----a-w-        c:\windows\RTHDCPL.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2007-11-06 14:40        1826816        ----a-w-        c:\windows\SkyTel.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-10-29 13:49        249064        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 

.

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [24.02.2011 21:08 371544]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24.02.2011 21:08 301528]

R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [16.12.2010 18:12 130376]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24.02.2011 21:08 19544]

R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [16.02.2011 18:38 344064]

R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [16.02.2011 18:38 389120]

R2 NanoServiceMain;Panda Cloud Antivirus Service;c:\programme\Panda Security\Panda Cloud Antivirus\PSANHost.exe [16.12.2010 18:19 140608]

R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [16.12.2010 18:12 141768]

R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [16.12.2010 18:12 97352]

R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [16.12.2010 18:12 111944]

R2 PSINProt;PSINProt;c:\windows\system32\drivers\PSINProt.sys [16.12.2010 18:12 113096]

R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [18.02.2011 13:08 1517376]

R3 AVerAF35;AVerMedia A835 USB DVB-T;c:\windows\system32\drivers\AVerAF35.sys [16.02.2011 18:28 474880]

R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [16.02.2011 15:35 342784]

R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [29.11.2010 19:27 10064]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\drivers\sscebus.sys [16.02.2011 19:32 98560]

S3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\drivers\sscemdfl.sys [16.02.2011 19:32 14848]

S3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\drivers\sscemdm.sys [16.02.2011 19:32 123648]

S3 ssceserd;SAMSUNG Mobile Modem Diagnostic Serial Port V2 (WDM);c:\windows\system32\drivers\ssceserd.sys [16.02.2011 19:32 100352]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [02.04.2003 12:00 14336]

S3 XDva383;XDva383;\??\c:\windows\system32\XDva383.sys --> c:\windows\system32\XDva383.sys [?]

S4 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM        REG_MULTI_SZ           WINRM

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\hv5g430i.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: Mignet Assistant Service: {83b63cbd-cea5-49e9-5583-baf19ba6c61c} - c:\programme\Mozilla Firefox\extensions\{83b63cbd-cea5-49e9-5583-baf19ba6c61c}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}

FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: avast! WebRep: wrc@avast.com - c:\programme\AVAST Software\Avast\WebRep\FF

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

FF - user.js: network.http.max-persistent-connections-per-server - 4

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-03-10 20:18

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(1224)

c:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

Zeit der Fertigstellung: 2011-03-10  20:30:53

ComboFix-quarantined-files.txt  2011-03-10 19:30

ComboFix2.txt  2011-03-06 23:44

ComboFix3.txt  2011-02-23 18:11

ComboFix4.txt  2011-02-17 15:27

.

Vor Suchlauf: 10 Verzeichnis(se), 49.642.291.200 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 49.763.577.856 Bytes frei

.

- - End Of File - - 98F4A22AE812E8E5D6C1C3C8C2630874

--- --- ---

LG

Zitat:

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Panda Cloud Antivirus *Disabled/Updated* {5AD27692-540A-464E-B625-78275FA38393}

Wizu zwei Virenscanner? Deinstalliere bitte Panda oder Avast!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

File::

C:\T20.BIN
 

FCopy::

c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Zitat:

Zitat von cosinus (Beitrag 628758)

Wizu zwei Virenscanner? Deinstalliere bitte Panda oder Avast!

Panda habe ich nur installiert, um einen Scan zu starten...
aber meistens ist nur ein guard an.
gut, panda werde ich dann deinstallieren.
oder vielleicht beide und dann antivir drauf machen.
das mit cf werde ich gleich starten!
LG
edit:
laut virustotal sind die dateien sauber.
soll ich trotzdem die anleitung abarbeiten?
hxxp://www.virustotal.com/file-scan/report.html?id=ea29e49434585409272e7901af89771fe9d6e911a7dc44ab3c7020cff8a44552-1299842468
hxxp://www.virustotal.com/file-scan/report.html?id=19d5f8fb1898be1c2fc0ef7e3a57454fe20f3d714637d3c53fa69da16decf6e9-1299842354
hxxp://www.virustotal.com/file-scan/report.html?id=256218c8c842464020c97360ccc4200eaa6402dc17d80df448e6fae5bdca379b-1299842591

Ja bitte. Da sind Hinweise auf eine manipulierte tcpip.sys.

So, das ist es:
Combofix Logfile:

Code:

ComboFix 11-03-10.03 - Matthias 11.03.2011  14:27:44.5.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1527.996 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Matthias\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Matthias\Desktop\CFScript.txt

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

FILE ::

"C:\T20.BIN"

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\CFLog

c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Temporary Internet Files\9O01H4pe

c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Temporary Internet Files\CHaL_ND

C:\T20.BIN

.

.

--------------- FCopy ---------------

.

c:\windows\system32\dllcache\tcpip.sys --> c:\windows\system32\drivers\tcpip.sys

.

(((((((((((((((((((((((   Dateien erstellt von 2011-02-11 bis 2011-03-11  ))))))))))))))))))))))))))))))

.

.

2011-03-11 12:57 . 2011-03-11 12:57        --------        d-----r-        C:\MSOCache

2011-03-07 19:32 . 2011-03-07 19:32        --------        d-----w-        C:\_OTL

2011-02-16 14:37 . 2011-02-16 14:37        --------        d-----w-        C:\Intel

2011-02-16 13:50 . 2011-03-11 13:04        --------        d-----w-        C:\Downloads

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-19 17:56 . 2008-12-08 20:07        219136        ----a-w-        c:\windows\system32\uxtheme.dll

2011-02-09 13:53 . 2003-04-02 11:00        270848        ----a-w-        c:\windows\system32\sbe.dll

2011-02-09 13:53 . 2003-04-02 11:00        186880        ----a-w-        c:\windows\system32\encdec.dll

2011-01-29 22:16 . 2011-01-29 22:16        30056        ----a-w-        c:\windows\system32\MASetupCleaner.exe

2011-01-29 16:00 . 2011-01-29 16:00        90112        ----a-w-        c:\windows\MAMCityDownload.ocx

2011-01-29 16:00 . 2011-01-29 16:00        325552        ----a-w-        c:\windows\MASetupCaller.dll

2011-01-29 16:00 . 2011-01-29 16:00        81920        ----a-w-        c:\windows\system32\issacapi_bs-2.3.dll

2011-01-29 16:00 . 2011-01-29 16:00        65536        ----a-w-        c:\windows\system32\issacapi_pe-2.3.dll

2011-01-29 16:00 . 2011-01-29 16:00        57344        ----a-w-        c:\windows\system32\MTXSYNCICON.dll

2011-01-29 16:00 . 2011-01-29 16:00        57344        ----a-w-        c:\windows\system32\MK_Lyric.dll

2011-01-29 16:00 . 2011-01-29 16:00        57344        ----a-w-        c:\windows\system32\issacapi_se-2.3.dll

2011-01-29 16:00 . 2011-01-29 16:00        569344        ----a-w-        c:\windows\system32\muzdecode.ax

2011-01-29 16:00 . 2011-01-29 16:00        491520        ----a-w-        c:\windows\system32\muzapp.dll

2011-01-29 16:00 . 2011-01-29 16:00        49152        ----a-w-        c:\windows\system32\MaJGUILib.dll

2011-01-29 16:00 . 2011-01-29 16:00        45056        ----a-w-        c:\windows\system32\MaXMLProto.dll

2011-01-29 16:00 . 2011-01-29 16:00        45056        ----a-w-        c:\windows\system32\MACXMLProto.dll

2011-01-29 16:00 . 2011-01-29 16:00        40960        ----a-w-        c:\windows\system32\MTTELECHIP.dll

2011-01-29 16:00 . 2011-01-29 16:00        40960        ----a-w-        c:\windows\system32\MAMACExtract.dll

2011-01-29 16:00 . 2011-01-29 16:00        352256        ----a-w-        c:\windows\system32\MSLUR71.dll

2011-01-29 16:00 . 2011-01-29 16:00        258048        ----a-w-        c:\windows\system32\muzoggsp.ax

2011-01-29 16:00 . 2011-01-29 16:00        245760        ----a-w-        c:\windows\system32\MSCLib.dll

2011-01-29 16:00 . 2011-01-29 16:00        200704        ----a-w-        c:\windows\system32\muzwmts.dll

2011-01-29 16:00 . 2011-01-29 16:00        155648        ----a-w-        c:\windows\system32\MSFLib.dll

2011-01-29 16:00 . 2011-01-29 16:00        143360        ----a-w-        c:\windows\system32\3DAudio.ax

2011-01-29 16:00 . 2011-01-29 16:00        135168        ----a-w-        c:\windows\system32\muzaf1.dll

2011-01-29 16:00 . 2011-01-29 16:00        131072        ----a-w-        c:\windows\system32\muzmpgsp.ax

2011-01-29 16:00 . 2011-01-29 16:00        122880        ----a-w-        c:\windows\system32\muzeffect.ax

2011-01-29 16:00 . 2011-01-29 16:00        118784        ----a-w-        c:\windows\system32\MaDRM.dll

2011-01-29 16:00 . 2011-01-29 16:00        110592        ----a-w-        c:\windows\system32\muzmp4sp.ax

2011-01-21 14:44 . 2003-04-02 11:00        8503296        ----a-w-        c:\windows\system32\shell32_original.dll

2011-01-21 14:44 . 2003-04-02 11:00        440832        ----a-w-        c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2003-04-02 11:00        290048        ----a-w-        c:\windows\system32\atmfd.dll

2010-12-31 14:03 . 2003-04-02 11:00        1855104        ----a-w-        c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2003-04-02 11:00        301568        ----a-w-        c:\windows\system32\kerberos.dll

2010-12-20 23:52 . 2003-04-02 11:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-12-20 23:52 . 2003-04-02 11:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2010-12-20 23:52 . 2003-04-02 11:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2010-12-20 22:14 . 2010-12-20 22:14        81920        ------w-        c:\windows\system32\ieencode.dll

2010-12-20 17:25 . 2003-04-02 11:00        737792        ----a-w-        c:\windows\system32\lsasrv.dll

2010-12-16 17:39 . 2010-12-16 17:39        365888        ----a-w-        c:\windows\system32\PSUNCpl.cpl

2010-12-16 17:12 . 2010-12-16 17:12        113096        ----a-w-        c:\windows\system32\drivers\PSINProt.sys

2010-12-16 17:12 . 2010-12-16 17:12        111944        ----a-w-        c:\windows\system32\drivers\PSINProc.sys

2010-12-16 17:12 . 2010-12-16 17:12        130376        ----a-w-        c:\windows\system32\drivers\PSINKNC.sys

2010-12-16 17:12 . 2010-12-16 17:12        97352        ----a-w-        c:\windows\system32\drivers\PSINFile.sys

2010-12-16 17:12 . 2010-12-16 17:12        141768        ----a-w-        c:\windows\system32\drivers\PSINAflt.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-02-23 15:04        122512        ----a-w-        c:\programme\AVAST Software\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]

@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"

[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]

2010-12-16 17:18        320832        ----a-w-        c:\programme\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]

@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"

[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]

2010-12-16 17:18        320832        ----a-w-        c:\programme\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast"="c:\programme\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]

"PSUNMain"="c:\programme\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-02-24 423232]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 0 (0x0)

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 22:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AVer HID Receiver.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AVer HID Receiver.lnk

backup=c:\windows\pss\AVer HID Receiver.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AVerQuick.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AVerQuick.lnk

backup=c:\windows\pss\AVerQuick.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk

backup=c:\windows\pss\Windows Search.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2007-11-06 14:39        69632        ----a-w-        c:\windows\Alcmtr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

2008-04-14 06:53        110592        ------w-        c:\windows\system32\bthprops.cpl

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrowserChoice]

2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 06:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2011-01-20 09:20        1305408        ----a-w-        c:\programme\DAEMON Tools Lite\DTLite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

2010-01-13 10:46        166912        ----a-w-        c:\windows\system32\hkcmd.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

2010-01-13 10:46        134656        ----a-w-        c:\windows\system32\igfxtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-03-01 20:45        421160        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]

2011-01-29 22:11        888120        ----a-w-        c:\programme\Samsung\Kies\KiesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]

2011-01-29 22:11        3372856        ----a-w-        c:\programme\Samsung\Kies\KiesTrayAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2010-01-13 10:46        135680        ----a-w-        c:\windows\system32\igfxpers.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

2010-04-12 08:40        180224        ----a-w-        c:\programme\PowerISO\PWRISOVM.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 16:38        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2007-11-06 14:40        16384512        ----a-w-        c:\windows\RTHDCPL.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2007-11-06 14:40        1826816        ----a-w-        c:\windows\SkyTel.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-10-29 13:49        249064        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

2011-02-18 19:05        2423752        ----a-w-        c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 

.

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [24.02.2011 21:08 371544]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24.02.2011 21:08 301528]

R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [10.03.2011 16:05 218688]

R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [16.12.2010 18:12 130376]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24.02.2011 21:08 19544]

R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [16.02.2011 18:38 344064]

R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [16.02.2011 18:38 389120]

R2 NanoServiceMain;Panda Cloud Antivirus Service;c:\programme\Panda Security\Panda Cloud Antivirus\PSANHost.exe [16.12.2010 18:19 140608]

R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [16.12.2010 18:12 141768]

R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [16.12.2010 18:12 97352]

R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [16.12.2010 18:12 111944]

R2 PSINProt;PSINProt;c:\windows\system32\drivers\PSINProt.sys [16.12.2010 18:12 113096]

R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [18.02.2011 13:08 1517376]

R3 AVerAF35;AVerMedia A835 USB DVB-T;c:\windows\system32\drivers\AVerAF35.sys [16.02.2011 18:28 474880]

R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [16.02.2011 15:35 342784]

R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [29.11.2010 19:27 10064]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\drivers\sscebus.sys [16.02.2011 19:32 98560]

S3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\drivers\sscemdfl.sys [16.02.2011 19:32 14848]

S3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\drivers\sscemdm.sys [16.02.2011 19:32 123648]

S3 ssceserd;SAMSUNG Mobile Modem Diagnostic Serial Port V2 (WDM);c:\windows\system32\drivers\ssceserd.sys [16.02.2011 19:32 100352]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [02.04.2003 12:00 14336]

S3 XDva383;XDva383;\??\c:\windows\system32\XDva383.sys --> c:\windows\system32\XDva383.sys [?]

S4 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM        REG_MULTI_SZ           WINRM

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\hv5g430i.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: Mignet Assistant Service: {83b63cbd-cea5-49e9-5583-baf19ba6c61c} - c:\programme\Mozilla Firefox\extensions\{83b63cbd-cea5-49e9-5583-baf19ba6c61c}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}

FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: avast! WebRep: wrc@avast.com - c:\programme\AVAST Software\Avast\WebRep\FF

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

FF - user.js: network.http.max-persistent-connections-per-server - 4

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-03-11 15:07

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(1216)

c:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

Zeit der Fertigstellung: 2011-03-11  15:20:48

ComboFix-quarantined-files.txt  2011-03-11 14:20

ComboFix2.txt  2011-03-10 19:31

ComboFix3.txt  2011-03-06 23:44

ComboFix4.txt  2011-02-23 18:11

ComboFix5.txt  2011-03-11 11:34

.

Vor Suchlauf: 10 Verzeichnis(se), 48.461.058.048 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 48.454.287.360 Bytes frei

.

- - End Of File - - 6855A4798956E90FA0C1A7F35B5B614B

--- --- ---

LG

Bitte führe mal dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html

grad wo du es sagst.
wenn cf scannt, kommt nach ca. 5-10 minuten die meldung, dass rootkitaktivitäten festgestellt wurden und der pc jetzt neustarten wird.
LG
edit:
der tdss killer hat nix gefunden.

Zitat:

2011/03/11 16:22:18.0984 3952 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/11 16:22:19.0343 3952 ================================================================================
2011/03/11 16:22:19.0343 3952 SystemInfo:
2011/03/11 16:22:19.0343 3952
2011/03/11 16:22:19.0343 3952 OS Version: 5.1.2600 ServicePack: 3.0
2011/03/11 16:22:19.0343 3952 Product type: Workstation
2011/03/11 16:22:19.0343 3952 ComputerName: MUHAHAHA-FPGDH9
2011/03/11 16:22:19.0343 3952 UserName: Matthias
2011/03/11 16:22:19.0343 3952 Windows directory: C:\WINDOWS
2011/03/11 16:22:19.0343 3952 System windows directory: C:\WINDOWS
2011/03/11 16:22:19.0343 3952 Processor architecture: Intel x86
2011/03/11 16:22:19.0343 3952 Number of processors: 1
2011/03/11 16:22:19.0343 3952 Page size: 0x1000
2011/03/11 16:22:19.0343 3952 Boot type: Normal boot
2011/03/11 16:22:19.0343 3952 ================================================================================
2011/03/11 16:22:20.0062 3952 Initialize success
2011/03/11 16:22:25.0671 2712 ================================================================================
2011/03/11 16:22:25.0671 2712 Scan started
2011/03/11 16:22:25.0671 2712 Mode: Manual;
2011/03/11 16:22:25.0671 2712 ================================================================================
2011/03/11 16:22:26.0656 2712 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/03/11 16:22:26.0750 2712 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/03/11 16:22:26.0921 2712 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/03/11 16:22:27.0078 2712 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/03/11 16:22:27.0968 2712 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/03/11 16:22:28.0046 2712 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/03/11 16:22:28.0109 2712 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/03/11 16:22:28.0312 2712 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/03/11 16:22:28.0562 2712 AVerAF35 (c143c69e089c7a13520eaf06175b3a3b) C:\WINDOWS\system32\Drivers\AVerAF35.sys
2011/03/11 16:22:28.0843 2712 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/03/11 16:22:29.0000 2712 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/03/11 16:22:29.0093 2712 avipbb (da39805e2bad99d37fce9477dd94e7f2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/03/11 16:22:29.0203 2712 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/03/11 16:22:29.0343 2712 BthEnum (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
2011/03/11 16:22:29.0468 2712 BTHMODEM (fca6f069597b62d42495191ace3fc6c1) C:\WINDOWS\system32\DRIVERS\bthmodem.sys
2011/03/11 16:22:29.0562 2712 BthPan (80602b8746d3738f5886ce3d67ef06b6) C:\WINDOWS\system32\DRIVERS\bthpan.sys
2011/03/11 16:22:29.0671 2712 BTHPORT (592e1cedbe314d0ef184dc6f46141e76) C:\WINDOWS\system32\Drivers\BTHport.sys
2011/03/11 16:22:29.0796 2712 BTHUSB (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
2011/03/11 16:22:30.0015 2712 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/03/11 16:22:30.0109 2712 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/03/11 16:22:30.0328 2712 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/03/11 16:22:30.0515 2712 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/03/11 16:22:30.0687 2712 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/03/11 16:22:30.0843 2712 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/03/11 16:22:31.0031 2712 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/03/11 16:22:31.0281 2712 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/03/11 16:22:31.0453 2712 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/03/11 16:22:31.0625 2712 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/03/11 16:22:31.0750 2712 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/03/11 16:22:31.0859 2712 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/03/11 16:22:32.0031 2712 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/03/11 16:22:32.0140 2712 dtsoftbus01 (555e54ac2f601a8821cef58961653991) C:\WINDOWS\system32\DRIVERS\dtsoftbus01.sys
2011/03/11 16:22:32.0312 2712 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/03/11 16:22:32.0468 2712 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/03/11 16:22:32.0578 2712 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/03/11 16:22:32.0625 2712 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/03/11 16:22:32.0718 2712 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/03/11 16:22:32.0875 2712 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/03/11 16:22:32.0984 2712 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/03/11 16:22:33.0093 2712 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/03/11 16:22:33.0250 2712 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/03/11 16:22:33.0359 2712 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/03/11 16:22:33.0468 2712 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/03/11 16:22:33.0687 2712 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/03/11 16:22:34.0093 2712 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/03/11 16:22:34.0265 2712 ialm (c5db546f9028cd00e64335091860d8f3) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/03/11 16:22:34.0609 2712 iaStor (8ef427c54497c5f8a7a645990e4278c7) C:\WINDOWS\system32\DRIVERS\iaStor.sys
2011/03/11 16:22:34.0671 2712 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/03/11 16:22:34.0984 2712 IntcAzAudAddService (00c5e8161d71f6a51885026e1853c027) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/03/11 16:22:35.0359 2712 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/03/11 16:22:35.0468 2712 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/03/11 16:22:35.0609 2712 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/03/11 16:22:35.0781 2712 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/03/11 16:22:35.0875 2712 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/03/11 16:22:36.0000 2712 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/03/11 16:22:36.0093 2712 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/03/11 16:22:36.0234 2712 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/03/11 16:22:36.0343 2712 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/03/11 16:22:36.0468 2712 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/03/11 16:22:36.0640 2712 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/03/11 16:22:36.0765 2712 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/03/11 16:22:37.0015 2712 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/03/11 16:22:37.0125 2712 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/03/11 16:22:37.0281 2712 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/03/11 16:22:37.0390 2712 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/03/11 16:22:37.0546 2712 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/03/11 16:22:37.0703 2712 MPE (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys
2011/03/11 16:22:37.0843 2712 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/03/11 16:22:37.0984 2712 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/03/11 16:22:38.0187 2712 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/03/11 16:22:38.0296 2712 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/03/11 16:22:38.0406 2712 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/03/11 16:22:38.0546 2712 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/03/11 16:22:38.0687 2712 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/03/11 16:22:38.0812 2712 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/03/11 16:22:38.0937 2712 MTsensor (1c0f480b7c6136ddb5fb909995af014a) C:\WINDOWS\system32\DRIVERS\ATKACPI.sys
2011/03/11 16:22:39.0046 2712 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/03/11 16:22:39.0203 2712 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/03/11 16:22:39.0312 2712 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/03/11 16:22:39.0500 2712 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/03/11 16:22:39.0625 2712 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/03/11 16:22:39.0718 2712 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/03/11 16:22:39.0828 2712 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/03/11 16:22:39.0953 2712 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/03/11 16:22:40.0078 2712 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/03/11 16:22:40.0187 2712 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/03/11 16:22:40.0328 2712 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/03/11 16:22:40.0437 2712 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/03/11 16:22:40.0546 2712 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/03/11 16:22:40.0656 2712 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/03/11 16:22:40.0796 2712 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/03/11 16:22:40.0921 2712 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2011/03/11 16:22:41.0031 2712 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/03/11 16:22:41.0187 2712 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/03/11 16:22:41.0328 2712 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/03/11 16:22:41.0593 2712 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/03/11 16:22:41.0734 2712 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/03/11 16:22:42.0109 2712 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/03/11 16:22:42.0234 2712 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/03/11 16:22:42.0421 2712 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/03/11 16:22:42.0531 2712 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/03/11 16:22:42.0843 2712 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/03/11 16:22:42.0937 2712 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/03/11 16:22:43.0031 2712 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/03/11 16:22:43.0156 2712 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/03/11 16:22:43.0296 2712 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/03/11 16:22:43.0406 2712 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/03/11 16:22:43.0500 2712 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/03/11 16:22:43.0656 2712 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/03/11 16:22:43.0796 2712 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/03/11 16:22:43.0890 2712 RFCOMM (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
2011/03/11 16:22:44.0000 2712 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/03/11 16:22:44.0109 2712 RTL8187B (2890916eb8ded61cc2d8d057a9778e03) C:\WINDOWS\system32\DRIVERS\RTL8187B.sys
2011/03/11 16:22:44.0250 2712 SASDIFSV (a3281aec37e0720a2bc28034c2df2a56) C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
2011/03/11 16:22:44.0328 2712 SASKUTIL (61db0d0756a99506207fd724e3692b25) C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
2011/03/11 16:22:44.0468 2712 SCDEmu (20b2751cd4c8f3fd989739ca661b9f30) C:\WINDOWS\system32\drivers\SCDEmu.sys
2011/03/11 16:22:44.0593 2712 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/03/11 16:22:44.0703 2712 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/03/11 16:22:44.0906 2712 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/03/11 16:22:45.0093 2712 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/03/11 16:22:45.0250 2712 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/03/11 16:22:45.0359 2712 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/03/11 16:22:45.0546 2712 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/03/11 16:22:45.0687 2712 sscebus (b2063ce662af3ab20045121a5b716df6) C:\WINDOWS\system32\DRIVERS\sscebus.sys
2011/03/11 16:22:45.0781 2712 sscemdfl (66799dc0afe3dcaf8368cae17394a762) C:\WINDOWS\system32\DRIVERS\sscemdfl.sys
2011/03/11 16:22:45.0906 2712 sscemdm (cbf03ffc08f8db547bab2f79aa663d16) C:\WINDOWS\system32\DRIVERS\sscemdm.sys
2011/03/11 16:22:46.0015 2712 ssceserd (60cd4ad33aa52e58faac3abad18cf8ef) C:\WINDOWS\system32\DRIVERS\ssceserd.sys
2011/03/11 16:22:46.0171 2712 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/03/11 16:22:46.0296 2712 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/03/11 16:22:46.0468 2712 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/03/11 16:22:46.0656 2712 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/03/11 16:22:46.0937 2712 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/03/11 16:22:47.0046 2712 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/03/11 16:22:47.0218 2712 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/03/11 16:22:47.0265 2712 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/03/11 16:22:47.0343 2712 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/03/11 16:22:47.0546 2712 TuneUpUtilitiesDrv (f2107c9d85ec0df116939ccce06ae697) C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys
2011/03/11 16:22:47.0687 2712 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/03/11 16:22:47.0906 2712 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/03/11 16:22:48.0062 2712 USBAAPL (d4fb6ecc60a428564ba8768b0e23c0fc) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/03/11 16:22:48.0203 2712 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/03/11 16:22:48.0343 2712 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/03/11 16:22:48.0437 2712 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/03/11 16:22:48.0562 2712 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/03/11 16:22:48.0687 2712 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/03/11 16:22:48.0781 2712 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/03/11 16:22:48.0890 2712 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/03/11 16:22:49.0015 2712 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/03/11 16:22:49.0218 2712 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/03/11 16:22:49.0343 2712 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/03/11 16:22:49.0546 2712 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/03/11 16:22:49.0750 2712 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/03/11 16:22:49.0890 2712 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
2011/03/11 16:22:50.0062 2712 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/03/11 16:22:50.0187 2712 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/03/11 16:22:50.0328 2712 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/03/11 16:22:50.0781 2712 ================================================================================
2011/03/11 16:22:50.0781 2712 Scan finished
2011/03/11 16:22:50.0781 2712 ================================================================================
2011/03/11 16:22:56.0437 2636 Deinitialize success

Hast du CF jetzt schon wieder ausgeführt? Oder nur das letzte mal bei unserem Fix?

hab antivir installiert und mal ein scan gestartet... scheint aber nix aktives gefunden worden zu sein

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. März 2011 15:54

Es wird nach 2485316 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : xxxxxxxxxxxxxxxxxx
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : xxxxxxxxxxxxxxxxx

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.01.2011 13:22:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 10.01.2011 13:23:14
LUKE.DLL : 10.0.3.2 104296 Bytes 10.01.2011 13:23:03
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:23:11
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:50:05
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 14:50:05
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 14:50:06
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 14:50:06
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 14:50:06
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 14:50:06
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 14:50:06
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 14:50:06
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 14:50:06
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 14:50:06
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 14:50:06
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 14:50:06
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 14:50:07
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 14:50:07
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 14:50:07
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 14:50:08
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 14:50:08
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 14:50:09
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 14:50:09
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 14:50:09
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 14:50:10
VBASE023.VDF : 7.11.4.151 2048 Bytes 10.03.2011 14:50:10
VBASE024.VDF : 7.11.4.152 2048 Bytes 10.03.2011 14:50:10
VBASE025.VDF : 7.11.4.153 2048 Bytes 10.03.2011 14:50:10
VBASE026.VDF : 7.11.4.154 2048 Bytes 10.03.2011 14:50:10
VBASE027.VDF : 7.11.4.155 2048 Bytes 10.03.2011 14:50:10
VBASE028.VDF : 7.11.4.156 2048 Bytes 10.03.2011 14:50:10
VBASE029.VDF : 7.11.4.157 2048 Bytes 10.03.2011 14:50:10
VBASE030.VDF : 7.11.4.158 2048 Bytes 10.03.2011 14:50:10
VBASE031.VDF : 7.11.4.169 66048 Bytes 11.03.2011 14:50:10
Engineversion : 8.2.4.180
AEVDF.DLL : 8.1.2.1 106868 Bytes 10.01.2011 13:22:51
AESCRIPT.DLL : 8.1.3.56 1261945 Bytes 11.03.2011 14:50:18
AESCN.DLL : 8.1.7.2 127349 Bytes 10.01.2011 13:22:49
AESBX.DLL : 8.1.3.2 254324 Bytes 10.01.2011 13:22:49
AERDL.DLL : 8.1.9.2 635252 Bytes 10.01.2011 13:22:49
AEPACK.DLL : 8.2.4.11 520566 Bytes 11.03.2011 14:50:17
AEOFFICE.DLL : 8.1.1.17 205177 Bytes 11.03.2011 14:50:16
AEHEUR.DLL : 8.1.2.83 3338613 Bytes 11.03.2011 14:50:16
AEHELP.DLL : 8.1.16.1 246134 Bytes 11.03.2011 14:50:12
AEGEN.DLL : 8.1.5.2 397683 Bytes 11.03.2011 14:50:12
AEEMU.DLL : 8.1.3.0 393589 Bytes 10.01.2011 13:22:42
AECORE.DLL : 8.1.19.2 196983 Bytes 11.03.2011 14:50:11
AEBB.DLL : 8.1.1.0 53618 Bytes 10.01.2011 13:22:41
AVWINLL.DLL : 10.0.0.0 19304 Bytes 10.01.2011 13:22:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 10.01.2011 13:22:55
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 10.01.2011 13:22:55
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.01.2011 13:22:56
AVARKT.DLL : 10.0.22.6 231784 Bytes 10.01.2011 13:22:51
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 10.01.2011 13:22:54
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 10.01.2011 13:22:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 10.01.2011 13:23:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 11. März 2011 15:54

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\windows\system32\ntmsdata\ntmsjrnl
[HINWEIS] Die Datei ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVerScheduleService.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVerRemote.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1068' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\RECYCLER\S-1-5-21-1645522239-796845957-839522115-1003\Dc3.rar
[0] Archivtyp: RAR
[FUND] Enthält Erkennungsmuster der Adware ADWARE/EZula.E
--> _OTL\MovedFiles\03072011_203243\C_WINDOWS\system32\03072011_203243.zip
[1] Archivtyp: ZIP
--> K-__ZMqu8ar.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/EZula.E
--> _OTL\MovedFiles\03072011_203243\C_WINDOWS\system32\K-__ZMqu8ar.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/EZula.E
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 41bc92fe.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2BD77C37-4540-43DB-8D2F-BAC58E7CFEA4}\RP38\A0018045.exe
[0] Archivtyp: NSIS
[FUND] Enthält Erkennungsmuster des Droppers DR/Delf.AY
--> ProgramFilesDir/ComputerSchock.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Delf.AY
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 592c82cc.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\_OTL\MovedFiles\03072011_203243\C_WINDOWS\system32\03072011_203243.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster der Adware ADWARE/EZula.E
--> K-__ZMqu8ar.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/EZula.E
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 0b73dbcd.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\_OTL\MovedFiles\03072011_203243\C_WINDOWS\system32\K-__ZMqu8ar.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/EZula.E
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 6d379405.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'F:\' <*_HDD_*>

Ende des Suchlaufs: Freitag, 11. März 2011 16:53
Benötigte Zeit: 59:11 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

18997 Verzeichnisse wurden überprüft
606392 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
606386 Dateien ohne Befall
6377 Archive wurden durchsucht
0 Warnungen
4 Hinweise
309314 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

was ist das hier?
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\windows\system32\ntmsdata\ntmsjrnl
[HINWEIS] Die Datei ist nicht sichtbar.
LG

Starte den Rechner bitte neu und mach einen neuen durchgang mit combofix mit einer neuen cofi.exe - berichte ob immer noch Rootkitaktivitäten festgestellt werden.

seh grad deinen letzten post, das war beim letzten fix.
dann werde ich cf wieder ausführen.
was soll ich machen wenn wieder rootkitaktivitäten gefunden werden?
muss ich wieder scannen?
das dauert keine 10 minuten wie angegeben sondern min. eine dreiviertel stunde...
LG

Die 45 Minuten werden wir haben müssen ;)

na gut, da muss ich wohl durch :D