Guten Tag,

meine Eltern haben bedauernderweise einen Anhang einer Mail geöffnet. (gefakte DHL Mail)
Sobald ich davon erfahren hab, hab ich den Rechner vom Netz getrennt.
Das ist nun schon 1-2 Monate her. Seitdem wurde der Rechner nur offline genutzt. Nun soll er wieder fit gemacht werden für den Online Betrieb, allerdings nur fürs surfen. (kein Onlinebanking, etc.)
Das ist der Grund, warum ich mich an euch wende, denn ich suche eine Bereinigung.

Nun, vor ein paar Tagen hat G-Data einen Teil des Schädlings 'entfernt' (dampvideo.exe), danach meldete sich der PC nach der Anmeldung sofort wieder ab. Das Problem konnte ich durch Verändern der Registry beheben. (per Boot-CD)
Der Eintrag hieß userinit.exe und irgendwas mit DEBUGGER, und eben der dampvideo.exe.
Den Eintrag habe ich einfach gelöscht, danach funktionierte wieder alles problemlos. Mir ist klar, dass der PC noch lange nicht bereinigt ist, sondern nur die Sympthome bereingt sind.

Da es sich bei dem DEBUGGER Eintrag eindeutig (?) um Bebloh handelt, wollte ich euch Fragen welche Logs ihr denn braucht. (OTL, Mbam, ...?)

Mit freundlichen Grüßen,
Oliver

Hi,
bitte poste die GDATA Fundmeldungen.
Warnt bitte Freunde, Bekannte, etc, das im Moment vermehrt E-Mails mit Rechnungen, und sonstigen fake Anhängen unterwegs sind, gib ihnen die Mailadresse aus meiner Signatur, mit bitte, uns verdächtige Mails weiterzuleiten.

Alle Protokolle sind im Anhang. Die .rar Datei (im Log) habe ich damals gepackt, weiß aber nicht mehr genau was das war, könnte die Ursprungsdatei gewesen sein. Kann die auch hochladen, wenn ihr wollte.
Die Email selber wurde damals gelöscht.

hi
wenn weitere Spams reinkommen, gerne weiterleiten.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Ich habe jetzt mal einen normalen Scan mit 90 Tagen gemacht, weil die Infektion ja schon länger zurück liegt. Hoffe das passt so.

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 33920 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\mscywm.exe
 :Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Log ist angehängt.
Upload hat problemlos funktioniert.

Danke für die Hilfe!
Oliver

hi
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

Datev, WIBUKEY und AVM kenne ich. Den Rest nicht. Wollte es nur nochmal erwähnen, falls du die jeweiligen Programme nicht kennst. Log im Anhang.

Danke für die bisherige Hilfe!
Oliver

Hi
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-01-21.01 - User 21.01.2013  14:08:28.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1525 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: G Data TotalCare 2012 *Disabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
FW: G Data Personal Firewall *Enabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\User\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-21 bis 2013-01-21  ))))))))))))))))))))))))))))))
.
.
2013-01-20 20:29 . 2013-01-20 21:02	--------	d-----w-	C:\_OTL
2013-01-20 11:17 . 2013-01-20 11:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Canneverbe Limited
2013-01-20 11:17 . 2013-01-20 11:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2013-01-20 09:28 . 2012-06-03 08:45	5504	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2013-01-20 09:28 . 2013-01-20 09:28	--------	d-----w-	c:\programme\CDBurnerXP
2013-01-06 14:24 . 2013-01-06 14:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2012-12-30 16:50 . 2012-12-30 16:50	--------	d-----w-	C:\temp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:23 . 2009-02-17 11:14	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2009-02-17 11:15	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-02 02:02 . 2009-02-17 11:14	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2009-02-17 11:15	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2009-02-17 11:14	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2009-02-17 11:14	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2009-02-17 11:14	385024	----a-w-	c:\windows\system32\html.iec
2002-07-04 09:44 . 2009-04-22 06:07	3208380	------w-	c:\programme\Ulead VideoStudio 5.0.msi
2012-09-06 01:26 . 2012-09-18 18:14	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}]
2011-06-01 07:05	611936	------w-	c:\datev\PROGRAMM\B0000397\DtvIePwdSafe.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OODIIcon]
@="{14A94384-BBED-47ed-86C0-6BF63FD892D0}"
[HKEY_CLASSES_ROOT\CLSID\{14A94384-BBED-47ed-86C0-6BF63FD892D0}]
2009-01-19 22:08	111872	----a-w-	c:\programme\OO Software\DiskImage\oodishi.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"G Data AntiVirus Tray Application"="c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe" [2011-05-11 923144]
"GDFirewallTray"="c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe" [2011-10-28 1617416]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DVCCSA]
2011-06-28 07:22	102912	------w-	c:\windows\system32\DVCCSAnotify002.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SkyUserDevmode-Update.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SkyUserDevmode-Update.lnk
backup=c:\windows\pss\SkyUserDevmode-Update.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-27 20:51	919008	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATEV_SCardMan]
2010-09-22 14:47	368736	------w-	c:\datev\PROGRAMM\B0000347\ScMgmt\SCardManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVCCSAWTSSetEntryNTE]
2011-06-28 07:22	549472	----a-w-	c:\datev\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-09-19 20:48	455968	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-12-02 13:29	2221352	----a-w-	c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-11-06 06:25	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
2008-09-04 04:01	2524416	----a-w-	c:\windows\system32\oodtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 10:36	50472	------w-	c:\programme\CyberLink\PowerDVD8\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 19:23	83240	------w-	c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiPaHost]
2011-05-09 12:52	595552	------w-	c:\datev\PROGRAMM\B0000398\SiPaHost.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
2004-11-26 09:43	90112	------w-	c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WkSvW32.exe"=2 (0x2)
"SQLWriter"=2 (0x2)
"SQLBrowser"=2 (0x2)
"O&O DiskImage"=2 (0x2)
"O&O Defrag"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe
"c:\\DATEV\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"=
"c:\\DATEV\\PROGRAMM\\Install\\Uninstal.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"=
"c:\\DATEV\\PROGRAMM\\B0000195\\ADDMAN\\DATEVAddMan.exe"=
"c:\\Programme\\StarMoney 7.0\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0\\app\\StarMoney.exe"=
"c:\\DATEV\\PROGRAMM\\B0000398\\SiPaHost.exe"=
"c:\\DATEV\\PROGRAMM\\B0000391\\Datev.Security.Dokumentenschutz.exe"=
.
R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [26.08.2009 06:29 40440]
R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [31.03.2009 13:47 30200]
R0 oodisr;O&O DiskImage Snapshot/Restore Driver;c:\windows\system32\drivers\oodisr.sys [19.01.2009 23:11 95752]
R0 oodisrh;oodisrh;c:\windows\system32\drivers\oodisrh.sys [19.01.2009 23:11 28680]
R0 oodivd;O&O DiskImage VirtualDisk Driver;c:\windows\system32\drivers\oodivd.sys [19.01.2009 23:11 133640]
R0 oodivdh;oodivdh;c:\windows\system32\drivers\oodivdh.sys [19.01.2009 23:11 31240]
R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [31.03.2009 13:48 79992]
R1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [31.03.2009 14:58 69112]
R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [12.11.2010 18:31 40568]
R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [27.08.2010 08:50 1506824]
R2 AVKService;G Data Scheduler;c:\programme\G DATA\TotalCare\AVK\AVKService.exe [27.08.2010 08:50 381448]
R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [27.08.2010 01:04 1554184]
R2 DATEV Logon Service;DATEV Logon Service;c:\datev\PROGRAMM\B0001364\DtvScSer.exe [03.09.2010 13:50 406112]
R2 Datev.Framework.RemoteServiceModel.EnablerService;DATEV DFL-Service-Manager;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 [?]
R2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTServ.exe [09.12.2011 01:20 79872]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [31.03.2009 13:47 52216]
R2 KOBIL_MSDI;KOBIL_MSDI;c:\datev\PROGRAMM\B0000404\msdisrv.exe [25.08.2010 07:54 194144]
R2 msftesql$DATEV_CL_DE01;SQL Server-Volltextsuche (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe [26.03.2010 02:07 91992]
R2 MSSQL$DATEV_CL_DE01;SQL Server (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe [10.12.2010 17:29 29293408]
R2 O&O DiskImage;O&O DiskImage;c:\programme\OO Software\DiskImage\oodiag.exe [19.01.2009 23:07 2094336]
R2 SC_Serv3D;SC_Serv3D;c:\windows\system32\drivers\d3_kafm.sys [19.07.2011 13:28 75320]
R2 SCardService;DATEV SmartCard Service;c:\datev\PROGRAMM\B0000347\ScMgmt\SCardService.exe [22.09.2010 16:47 292960]
R2 Sicherheitspaket-Dienst;Sicherheitspaket-Dienst;c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 --> c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 [?]
R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [11.11.2011 09:50 554160]
R3 GDFwSvc;G Data Personal Firewall;c:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [27.08.2010 01:15 1613424]
R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [27.08.2010 00:39 457536]
S2 DVckService;DVckService;c:\datev\PROGRAMM\B0000150\ScServer\DVckService.exe [28.06.2011 08:18 2409056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.02.2009 14:08 1684736]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.09.2012 12:50 4352]
S3 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\Install\DvInesASDSvc.Exe [25.07.2011 01:49 172640]
S3 Datev.Database.Conserve;DATEV Connection Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 [?]
S3 Datev.Framework.RemoteServices.Messaging.CentralMessagingService;DATEV Messaging-Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 [?]
S3 Datev.Framework.RemoteServices;DATEV DFL Infrastruktur-Dienst;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 [?]
S3 fwlanusb4;FRITZ!WLAN N/G;c:\windows\system32\drivers\fwlanusb4.sys [21.09.2012 12:49 926080]
S3 GDBackupSvc;G Data Backup Service;c:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [27.08.2010 00:58 1498616]
S3 GDTunerSvc;G Data Tuner Service;c:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [27.08.2010 01:38 960504]
S3 ZYA22_XP;ZyXEL 802.11a+b+g AG760 1211 Driver;c:\windows\system32\drivers\WlanAGXP.sys [02.04.2009 10:20 456704]
S4 WkSvW32.exe;WIBU-KEY Server;c:\programme\WIBUKEY\Server\WkSvW32.exe [01.04.2009 08:20 577536]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 78015133
*Deregistered* - 78015133
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-09-19 20:46	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 18:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\731db1o2.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - ExtSQL: !HIDDEN! 2009-09-02 20:53; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{557F4852-8868-44dd-B5E9-9890AC4B1FD5} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-StartSpeedy - c:\datev\PROGRAMM\B0001356\mIDentity.exe
AddRemove-EPSON Photo Print - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-21 14:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql$DATEV_CL_DE01]
"ImagePath"="\"c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:DATEV_CL_DE01"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
"OODI03.00.00.01PRO"="4E2CB8D5CC09902CC5E371DD385699D4CEEC77BF2DD5EFEDC5F56B209735C0660297B89C89F9B190407B29009975265CF10D520E0DB6C62A48BB47D2D41BEE289FD02610D8E6CFBDADCEF1AD9A6DF98E8CE0B6C59950AC878AE6813612C5F17ACF7FAECA8E749352D32AFDF1BCDE574AA203FA821F5D16C36CF9B7160BA7169F70ABD2E96E6FBC2FAD445359F00E92B1696ECB64E13A8DE2805859C3EE55B89B10C56710B64620FB67B24A79A261912DCB03268F13E62EAF0F4C2A13DC09CB38741F1561948AA32262EF1267AC66D2E66907DDAA5E0A2C331583C0FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79335D575E7D6A3B9808A9C6AECB7A5D1407FEBC9E127BECC74C243E2C26B85AB0D9663E406185C7DF0AD1100EACF42B9F71DDF45746501C57647CCFBBD7EBA16AD11F98F9CAB38839BA4E13B3E24A86377C4C5F4CB53BB30CE8D052D36432C744AFCA26FD31D1B41614BD722EDB8A0632F71D7F16D50F9929344ED8D7C0CE24DABF29C5483F8500F9280F7B3595DBD89DDB11AD4219941DE6C0A86C5074473FAF20FC4EFA32B6514E5837EF22A2A7E4EBED6EBA040854BCDE5B1708E89C685925C28E89D95B9046E15E3186F12899C1F24C7E69B3BC9C319127D21C71E7BF6584F0A832CF1F842CE4457768C7E2243D6E670F70C96680E2E2981B0CDD9B22877B439CFAE678C5886D6B0A35E89E7BD67B04F27B66C9D5ED987AB2B0C510A51C18A83C87D172CC117487EF7D40BE1AC29DBB7D294D3CB52660E960D5E5B1A5B251E4E072653056B1571F30C7D9B83BE9BAF98A8B63AA0090C6596E3C9E80C00BFC8D65C79966610AD78ED70E6819E1E91D01F5ABB51355E4420DAB1671105C9D598F29880D5E326E1B86F73E437BD191F364A283F1099C9228216A0D08891C1586270FAA7F7452E52B8924BA61131567508D75816AB37F3A3481823D2F296ECD87680216D41B0D2CF370F559E3A6F82129B858891850EC3286F0CDB454BF80DCC63A69281857F1AFC76589E30A900E2ED9F63A7214AB178322842A798DB045878FD63831F4C2D515DC6900993B3F2A2E1F2E8A071E2973EA6EA5FB0412F375C892CC60783C8AD1344B507EAA8133E4F31D9440859842BCDBB61428BD3C178B4F6480D9B4636EBE1791C1ACBD09049D0A5839D4238A7FEF792A5F9A098E39467C7C27A0150346C07E8F3936EC265CF2AC3D7CC5851F03D09EDCEE42B82B0FA867394B34B858793A5E0C86CE47CCF9CC4B981294C7A4FD64D9467B1095DA617B5BD84D1835C385535CB04D284E18AFD28B1D0447780F38756BC0927B5B890B475680DD5393CA7C77D50A06FC764562F1C5E12EE69CF40C11C80C977FB9467DDD0A3886F351958258D889FB092CB68EDB"
.
Zeit der Fertigstellung: 2013-01-21  14:21:12
ComboFix-quarantined-files.txt  2013-01-21 13:21
.
Vor Suchlauf: 18 Verzeichnis(se), 237.590.165.504 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 237.956.813.312 Bytes frei
.
- - End Of File - - 7C29693680DF32715DE8EBB3A01CCB1C
         

Hier das Log von ComboFix.

Hi
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Kann ich denn Malwarebytes auch offline updaten? Da der PC ja nicht ans Internet angeschlossen ist.

Ok, sorry für Doppelpost, habs hingekriegt. Malwarebytes keine Funde, habe vollständig gescannt. Wie gehts weiter?

kannst den pc auch ans netz bringen.

Zitat:

Zitat von markusg

kannst den pc auch ans netz bringen.

Ok.
Wie gesagt, Malwarebytes ohne Funde. Gibts noch was zu tun?