Redirect von google und extrem langsames laden von Inet Seiten, bzw gar kein laden.

irfanul · 03.04.2011, 13:20

Hallo Liebes Trojaner Board Team,

seit einiger Zeit passiert es, dass ich bei einer google suche umgeleitet werde.
Hab mir darum nie gedanken gemacht.

Vor einigen Tagen hatte ich dann Schwierigkeiten mit dem firefox browser. Ich erninnere mich, dass er immer abgestuerzt ist, und es irgendetwas mit Java script zu tun hatte.
Antivir hat auch einiges gefunden und gefixt. Habe dann, den neuen firefox 4.0 geladen, und nun immer die schwierigkeit, dass die inet seiten extremst langsam aufbauen, manchmal auch gar nicht. weiterleitungen kommen ab und an noch vor.

Einige Schritte, welche ich in hier im Forum gefunden habe sind auch schon ausgefuehrt, habe aber immer noch das gefuehl, dass irgendetwas nicht stimmt.

Und kann es im uebrigen sein, dass selbst, wenn ein virenscanner infizierte dateien findet und loescht, diese sich wieder neu laden?
auch da habe ich so ein ungutes gefuehl, da irgendwie immer wieder was neues gefunden wird.

Habe im uebrigen Antivir durchlaufen lassen = funde und geloescht.
malwarebytes = funde und geloescht.
eset online scanner = funde und geloescht.

hab zu spaet gesehen, dass ich die logfile haette posten sollen.
von daher hier nun die logfiles, des erneuten scans...

Dazu zu sagen ist, dass ich ein ziemlicher PC Noob bin... also wenn sich hier jemand findet, der mir freundlicherweise hilft und anleitungen zur verfuegung stellt, bitte so verstaendlich wie moeglich

hier der otl.txt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 03.04.2011 14:02:41 - Run 2
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\Seba\Desktop
Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 48,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 139,04 Gb Total Space | 4,33 Gb Free Space | 3,11% Space Free | Partition Type: NTFS
 
Computer Name: SEBASRECHNER | User Name: Seba | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Seba\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files\Google\Update\1.2.183.39\GoogleCrashHandler.exe (Google Inc.)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Users\Seba\AppData\Local\Temp\RtkBtMnt.exe (Realtek Semiconductor Corp.)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files\Launch Manager\LManager.exe (Dritek System Inc.)
PRC - C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe (Acer Incorporated)
PRC - C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe (Acer Incorporated)
PRC - C:\Program Files\Steganos Safe OEM\SteganosHotKeyService.exe ()
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Windows\PLFSetI.exe ()
PRC - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Seba\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18523_none_5cdd65e20837faf2\comctl32.dll (Microsoft Corporation)
MOD - C:\Program Files\eMachines\eMachines Power Management\SysHook.dll (Acer Incorporated)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (srv1360) -- File not found
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ePowerSvc) -- C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe (Acer Incorporated)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (IviRegMgr) -- C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys ()
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (taphss) -- C:\Windows\System32\drivers\taphss.sys (AnchorFree Inc)
DRV - (tap0901) -- C:\Windows\System32\drivers\tap0901.sys (The OpenVPN Project)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (L1C) -- C:\Windows\System32\drivers\L1C60x86.sys (Atheros Communications, Inc.)
DRV - (s0017mdm) -- C:\Windows\System32\drivers\s0017mdm.sys (MCCI Corporation)
DRV - (s0017unic) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM) -- C:\Windows\System32\drivers\s0017unic.sys (MCCI Corporation)
DRV - (s0017mgmt) Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM) -- C:\Windows\System32\drivers\s0017mgmt.sys (MCCI Corporation)
DRV - (s0017obex) -- C:\Windows\System32\drivers\s0017obex.sys (MCCI Corporation)
DRV - (s0017bus) Sony Ericsson Device 0017 driver (WDM) -- C:\Windows\System32\drivers\s0017bus.sys (MCCI Corporation)
DRV - (s0017nd5) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS) -- C:\Windows\System32\drivers\s0017nd5.sys (MCCI Corporation)
DRV - (s0017mdfl) -- C:\Windows\System32\drivers\s0017mdfl.sys (MCCI Corporation)
DRV - (SLEE_16_DRIVER) -- C:\Windows\System32\drivers\sleen16.sys (Softwareentwicklung Remus - ArchiCrypt )
DRV - (tapvpn) -- C:\Windows\System32\drivers\tapvpn.sys (The OpenVPN Project)
DRV - (regi) -- C:\Windows\System32\drivers\regi.sys (InterVideo)
DRV - (DritekPortIO) -- C:\Program Files\Launch Manager\DPortIO.sys (Dritek System Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&s=2&o=vb32&d=0409&m=e525
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&s=2&o=vb32&d=0409&m=e525
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&s=2&o=vb32&d=0409&m=e525
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64000
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {14245918-F442-4E68-BF00-8F0A0BEC18C0}:1.9.1
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{14245918-F442-4E68-BF00-8F0A0BEC18C0}: C:\Users\Seba\AppData\Local\{14245918-F442-4E68-BF00-8F0A0BEC18C0} [2010.10.09 00:49:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.03.27 12:42:24 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.03.27 12:44:46 | 000,000,000 | ---D | M]
 
[2009.06.13 20:50:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Seba\AppData\Roaming\Mozilla\Extensions
[2009.06.13 20:50:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Seba\AppData\Roaming\Mozilla\Extensions\mozswing@mozswing.org
[2011.03.27 00:17:53 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\y0wrg1vm.default\extensions
[2010.11.07 23:17:35 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\y0wrg1vm.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.10.28 21:18:24 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\y0wrg1vm.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.05.26 22:21:53 | 000,002,055 | ---- | M] () -- C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\y0wrg1vm.default\searchplugins\daemon-search.xml
[2011.04.02 10:18:04 | 000,001,056 | ---- | M] () -- C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\y0wrg1vm.default\searchplugins\icqplugin.xml
[2011.03.27 12:44:47 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011.02.13 20:07:10 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2011.03.27 12:44:47 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
File not found (No name found) -- 
[2011.03.18 19:56:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\Mozilla Firefox\components\browsercomps.dll
[2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2006.09.26 11:03:14 | 000,098,304 | ---- | M] (Zylom) -- C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O4 - HKLM..\Run: [Acer ePower Management] C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe (Acer Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EKIJ5000StatusMonitor] C:\Windows\System32\spool\drivers\w32x86\3\EKIJ5000MUI.exe (Eastman Kodak Company)
O4 - HKLM..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe ()
O4 - HKLM..\Run: [SAFEOEM HotKeys] C:\Program Files\Steganos Safe OEM\SteganosHotKeyService.exe ()
O4 - HKLM..\Run: [WarReg_PopUp] C:\Program Files\eMachines\WR_PopUp\WarReg_PopUp.exe (eMachines)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Speech Recognition] C:\Windows\Speech\Common\sapisvr.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Seba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Seba\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll (Google Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} https://plugins.valueactive.eu/flashax/iefax.cab (Flash Casino Helper Control)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Seba\Desktop\Bilder\Brasilien\100OLYMP\PC060378.JPG
O24 - Desktop BackupWallPaper: C:\Users\Seba\Desktop\Bilder\Brasilien\100OLYMP\PC060378.JPG
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{539f82c6-9398-11de-a27e-00235a835b69}\Shell\AutoRun\command - "" = E:\Menu.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: memHost - (C:\Windows\system32\diskysvr.dll) - File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.03 12:00:09 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2011.04.03 11:47:09 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Seba\Desktop\OTL.exe
[2011.04.03 11:18:03 | 000,000,000 | ---D | C] -- C:\Users\Seba\AppData\Roaming\Malwarebytes
[2011.04.03 11:17:44 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.04.03 11:17:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.04.03 11:17:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.04.03 11:17:39 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.04.03 11:17:39 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.04.02 21:51:33 | 000,000,000 | ---D | C] -- C:\Users\Seba\AppData\Roaming\Opera
[2011.04.02 21:51:33 | 000,000,000 | ---D | C] -- C:\Users\Seba\AppData\Local\Opera
[2011.04.02 21:51:26 | 000,000,000 | ---D | C] -- C:\Program Files\Opera
[2011.04.02 20:56:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner
[2011.04.02 20:56:17 | 000,000,000 | ---D | C] -- C:\Program Files\Eusing Free Registry Cleaner
[2011.04.02 20:47:31 | 000,000,000 | ---D | C] -- C:\Users\Seba\AppData\Local\PackageAware
[2011.04.02 15:44:31 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Users\Seba\Desktop\HiJackThis204.exe
[2011.03.27 12:45:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2011.03.27 12:45:13 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2011.03.27 12:44:46 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2011.03.27 12:44:46 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2011.03.27 12:44:46 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2011.03.27 12:44:46 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2011.03.27 12:18:57 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Adobe
[2011.03.26 22:46:47 | 000,000,000 | ---D | C] -- C:\Users\Seba\AppData\Roaming\Helptab
[2011.03.19 14:08:07 | 000,000,000 | ---D | C] -- C:\Users\Seba\Desktop\st patrick face studi
[2011.03.09 13:41:12 | 000,429,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\EncDec.dll
[2011.03.09 13:41:12 | 000,323,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\sbe.dll
[2011.03.09 13:41:12 | 000,177,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mpg2splt.ax
[2011.03.09 13:41:12 | 000,153,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\sbeio.dll
[2011.03.04 16:38:20 | 000,000,000 | ---D | C] -- C:\Program Files\ICQ6Toolbar
[2011.03.04 16:37:51 | 000,000,000 | ---D | C] -- C:\ProgramData\ICQ
[2011.03.04 14:14:22 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2010.08.25 19:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.03 13:32:07 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.04.03 13:32:07 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.04.03 13:09:11 | 000,000,868 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2011.04.03 13:08:03 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.04.03 11:57:57 | 000,301,568 | ---- | M] () -- C:\Users\Seba\Desktop\wdkpzk7t.exe
[2011.04.03 11:47:26 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Seba\Desktop\OTL.exe
[2011.04.03 11:32:33 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.04.03 11:31:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.04.03 11:31:37 | 2074,066,944 | -HS- | M] () -- C:\hiberfil.sys
[2011.04.03 11:17:44 | 000,000,868 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.02 21:51:29 | 000,001,600 | ---- | M] () -- C:\Users\Seba\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
[2011.04.02 21:51:29 | 000,001,576 | ---- | M] () -- C:\Users\Public\Desktop\Opera.lnk
[2011.04.02 15:44:38 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Users\Seba\Desktop\HiJackThis204.exe
[2011.04.02 13:50:29 | 000,002,339 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2011.04.02 04:03:58 | 167,562,066 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.03.29 09:57:22 | 000,000,680 | ---- | M] () -- C:\Users\Seba\AppData\Local\d3d9caps.dat
[2011.03.27 16:51:19 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.03.27 16:51:18 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.03.27 12:42:31 | 000,000,832 | ---- | M] () -- C:\Users\Seba\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2011.03.27 12:42:30 | 000,000,808 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2011.03.27 12:20:07 | 000,001,849 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2011.03.22 03:51:51 | 000,003,036 | ---- | M] () -- C:\Users\Seba\AppData\Roaming\9048.4A4
[2011.03.19 19:08:45 | 000,086,937 | ---- | M] () -- C:\Users\Seba\Desktop\24378_1383746922074_1484029322_31057364_261851_n.jpg
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.03 11:57:47 | 000,301,568 | ---- | C] () -- C:\Users\Seba\Desktop\wdkpzk7t.exe
[2011.04.03 11:17:44 | 000,000,868 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.02 21:51:29 | 000,001,600 | ---- | C] () -- C:\Users\Seba\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
[2011.04.02 21:51:29 | 000,001,588 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
[2011.04.02 21:51:29 | 000,001,576 | ---- | C] () -- C:\Users\Public\Desktop\Opera.lnk
[2011.03.27 12:42:31 | 000,000,832 | ---- | C] () -- C:\Users\Seba\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2011.03.27 12:42:30 | 000,000,820 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2011.03.27 12:42:30 | 000,000,808 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2011.03.27 12:19:10 | 000,001,849 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2011.03.27 12:19:07 | 000,002,425 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk
[2011.03.24 02:45:55 | 000,047,979 | ---- | C] () -- C:\Users\Seba\Desktop\P4301030_600x600_100KB.jpg
[2011.03.22 02:02:41 | 000,003,036 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\9048.4A4
[2011.03.19 19:08:45 | 000,086,937 | ---- | C] () -- C:\Users\Seba\Desktop\24378_1383746922074_1484029322_31057364_261851_n.jpg
[2010.10.09 00:49:21 | 000,000,120 | ---- | C] () -- C:\Users\Seba\AppData\Local\Ilopogufutufum.dat
[2010.10.09 00:49:21 | 000,000,000 | ---- | C] () -- C:\Users\Seba\AppData\Local\Dvexil.bin
[2010.10.09 00:47:34 | 000,000,020 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\ldcpfk.dat
[2010.10.05 15:45:00 | 000,000,020 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\oidzga.dat
[2010.08.25 20:30:02 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin
[2010.08.25 20:30:00 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin
[2010.08.25 20:30:00 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin
[2010.08.25 19:57:00 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
[2010.08.25 19:52:00 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2010.08.25 19:52:00 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2009.09.26 23:20:57 | 000,029,239 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\UserTile.png
[2009.08.28 23:26:39 | 000,000,032 | ---- | C] () -- C:\Windows\Menu.INI
[2009.08.21 20:43:02 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2009.08.03 13:07:42 | 000,403,816 | ---- | C] () -- C:\Windows\System32\OGACheckControl.dll
[2009.08.03 13:07:42 | 000,230,768 | ---- | C] () -- C:\Windows\System32\OGAEXEC.exe
[2009.07.16 21:48:22 | 000,000,680 | ---- | C] () -- C:\Users\Seba\AppData\Local\d3d9caps.dat
[2009.06.23 17:07:10 | 000,000,000 | ---- | C] () -- C:\Windows\System32\cd.dat
[2009.06.15 12:35:45 | 000,000,591 | ---- | C] () -- C:\Windows\WININIT.INI
[2009.06.14 23:05:31 | 000,153,088 | ---- | C] () -- C:\Users\Seba\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.06.13 18:36:51 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2009.04.03 11:32:43 | 000,626,688 | ---- | C] () -- C:\Windows\Image.dll
[2009.04.03 11:32:43 | 000,200,704 | ---- | C] () -- C:\Windows\PLFSetI.exe
[2009.04.03 11:32:43 | 000,009,216 | ---- | C] () -- C:\Windows\usbvideo_reg.exe
[2009.04.03 11:32:43 | 000,000,036 | ---- | C] () -- C:\Windows\PidList.ini
[2009.02.27 05:50:49 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX2.dat
[2009.02.27 05:50:49 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX1.dat
[2009.02.27 05:50:49 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX0.dat
[2009.02.27 05:50:49 | 000,000,008 | ---- | C] () -- C:\Windows\System32\drivers\rtkhdaud.dat
[2009.02.27 04:47:45 | 000,106,605 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009.02.27 04:47:45 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009.02.27 04:08:20 | 000,147,456 | ---- | C] () -- C:\Windows\System32\igfxCoIn_v1591.dll
[2009.02.27 04:08:20 | 000,147,172 | ---- | C] () -- C:\Windows\System32\igfcg550.bin
[2006.11.02 14:53:49 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:44:53 | 000,324,808 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 12:33:01 | 000,595,996 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,104,070 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:966CEAE7
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:333D43C5
 
< End of report >

--- --- ---

Die anderen Programme finden nun nichts mehr. also weder malwarebytes, noch antivir.

hier der "alte" von malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6253

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

03.04.2011 11:29:23
mbam-log-2011-04-03 (11-29-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152728
Laufzeit: 10 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vdubiguyorukem (Trojan.Agent.U) -> Value: Vdubiguyorukem -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\Seba\AppData\Local\Temp\jar_cache3600878282044531113.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Seba\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Seba\AppData\Local\Temp\0.7347753790825052.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.

ach so und der alte von antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 1. April 2011 12:00

Es wird nach 2552181 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SEBASRECHNER

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 15:55:45
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 09:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 08:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 07:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:55:45
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:53:31
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:43:32
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 19:43:33
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 19:43:33
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 19:43:33
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 19:43:33
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 19:43:34
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 19:43:34
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 19:43:34
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 19:43:35
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 19:43:36
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 19:43:39
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 09:03:22
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 19:27:18
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 19:37:12
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 19:37:20
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 19:37:26
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 19:37:24
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 19:37:29
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 17:42:40
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 23:28:53
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 23:28:45
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 11:30:47
VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 11:30:48
VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 12:12:29
VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 12:12:30
VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 12:02:24
VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 18:29:44
VBASE029.VDF : 7.11.5.123 2048 Bytes 30.03.2011 18:29:44
VBASE030.VDF : 7.11.5.124 2048 Bytes 30.03.2011 18:29:44
VBASE031.VDF : 7.11.5.151 108032 Bytes 31.03.2011 18:29:50
Engineversion : 8.2.4.192
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 17:24:05
AESCRIPT.DLL : 8.1.3.57 1261947 Bytes 18.03.2011 11:30:52
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 18:42:01
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 18:42:23
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 13:03:28
AEPACK.DLL : 8.2.4.13 524662 Bytes 25.03.2011 13:03:22
AEOFFICE.DLL : 8.1.1.18 205178 Bytes 25.03.2011 13:03:18
AEHEUR.DLL : 8.1.2.91 3387767 Bytes 25.03.2011 13:03:17
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 19:41:47
AEGEN.DLL : 8.1.5.3 397684 Bytes 18.03.2011 11:30:48
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 18:41:23
AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 14:34:38
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 09:30:00
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 05:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 21:26:57
AVREP.DLL : 10.0.0.9 174120 Bytes 04.03.2011 19:37:34
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 12:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 12:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 07:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 12:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 05:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 12:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 12:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 15:55:43

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 1. April 2011 12:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vlc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SteganosHotKeyService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlanext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '47' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Seba\AppData\Local\Temp\jar_cache9005908755719118752.tmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rorpian.A.2
C:\Users\Seba\AppData\Local\Temp\srv1360.tmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rorpian.A.2
C:\Users\Seba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\5b0c76db-2671e91c
[0] Archivtyp: ZIP
--> gendalf/fire.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.AG
--> mordor/bilbo.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.AH
--> mordor/saruman.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.AJ
C:\Users\Seba\AppData\Roaming\Helptab\buslib.exe
[FUND] Ist das Trojanische Pferd TR/Spy.396800.32
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\68990180-140dd67c
[0] Archivtyp: ZIP
--> ClassPol.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1184
--> padle.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1504
--> hubert.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.4794
--> CusBen.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.7976
--> Trollllllle.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.4653
--> Clrepor.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1113
--> Cload.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.3130
--> novell.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.838
--> huiak.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.10515
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\Users\Seba\AppData\Local\Temp\jar_cache9005908755719118752.tmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rorpian.A.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e07d2b9.qua' verschoben!
C:\Users\Seba\AppData\Local\Temp\srv1360.tmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rorpian.A.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e0bd2ca.qua' verschoben!
C:\Users\Seba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\5b0c76db-2671e91c
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc5d2ba.qua' verschoben!
C:\Users\Seba\AppData\Roaming\Helptab\buslib.exe
[FUND] Ist das Trojanische Pferd TR/Spy.396800.32
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e08d2cd.qua' verschoben!
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\68990180-140dd67c
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dced290.qua' verschoben!

Ende des Suchlaufs: Freitag, 1. April 2011 15:25
Benötigte Zeit: 1:58:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

24921 Verzeichnisse wurden überprüft
618877 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
618859 Dateien ohne Befall
4108 Archive wurden durchsucht
3 Warnungen
7 Hinweise

Ich hoffe, dass ist jetzt nicht zu unuebersichtlich, aber weiss nicht wie ich hier nen spoiler oder sowas einfuegen kann...

cosinus · 03.04.2011, 15:25

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

irfanul · 03.04.2011, 15:45

ah, ok... dann aktualisiere ich mal und fuehre den komplett Scan aus...
poste es dann gleich. danke schon mal dafuer.
hab den scanner auch erst seit heute drauf.

irfanul · 03.04.2011, 18:38

hier nun der aktuelle log von malwarebyte:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6255

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

03.04.2011 18:30:16
mbam-log-2011-04-03 (18-30-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 333100
Laufzeit: 1 Stunde(n), 47 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

den anderen, den ich hatte, ist nur der von dem schnellen such lauf. andere habe ich nicht, da ich mit malwarebyte erst heute geladen habe.
aber komisch, dass der nichts findet irgendwie.. und die ladezeiten immer noch extrem langsam sind, bzw seiten erst nach mehrmaligem versuch geladen werden. ???

cosinus · 03.04.2011, 18:40

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
@Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:966CEAE7
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:333D43C5
[2010.10.09 00:49:21 | 000,000,120 | ---- | C] () -- C:\Users\Seba\AppData\Local\Ilopogufutufum.dat
[2010.10.09 00:49:21 | 000,000,000 | ---- | C] () -- C:\Users\Seba\AppData\Local\Dvexil.bin
[2010.10.09 00:47:34 | 000,000,020 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\ldcpfk.dat
[2010.10.05 15:45:00 | 000,000,020 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\oidzga.dat
[2011.03.22 02:02:41 | 000,003,036 | ---- | C] () -- C:\Users\Seba\AppData\Roaming\9048.4A4
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{539f82c6-9398-11de-a27e-00235a835b69}\Shell\AutoRun\command - "" = E:\Menu.exe
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64000
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
SRV - (srv1360) -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

irfanul · 03.04.2011, 19:20

ok habe ich gemacht, und das hier kam dabei raus..

rechner hat neu gestartet, aber das sah nicht gut aus... danach kam halt dieser schwarze bilschirm, dass der nicht richtig runtergefahren ist und ob man im save modus starten moechte. hab den "normalen" genommen.

vllt muss das ja aber auch so sein...

hier der log:

All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:966CEAE7 deleted successfully.
ADS C:\ProgramData\TEMP:333D43C5 deleted successfully.
C:\Users\Seba\AppData\Local\Ilopogufutufum.dat moved successfully.
C:\Users\Seba\AppData\Local\Dvexil.bin moved successfully.
C:\Users\Seba\AppData\Roaming\ldcpfk.dat moved successfully.
C:\Users\Seba\AppData\Roaming\oidzga.dat moved successfully.
C:\Users\Seba\AppData\Roaming\9048.4A4 moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{539f82c6-9398-11de-a27e-00235a835b69}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{539f82c6-9398-11de-a27e-00235a835b69}\ not found.
File E:\Menu.exe not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Service srv1360 stopped successfully!
Service srv1360 deleted successfully!
File File not found not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41661 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Seba
->Temp folder emptied: 875049699 bytes
->Temporary Internet Files folder emptied: 48548933 bytes
->Java cache emptied: 124263509 bytes
->FireFox cache emptied: 50924426 bytes
->Opera cache emptied: 5437521 bytes
->Flash cache emptied: 453589 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 110378223 bytes
RecycleBin emptied: 181872691 bytes

Total Files Cleaned = 1.332,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 04032011_200554

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 03.04.2011, 19:39

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

irfanul · 03.04.2011, 20:32

das mit dem cleaner habe ich gemacht. bei diesem cofi.exe dingens ist der laptop abgestuerzt.
ich versuchs aber gleich nochmal?!

irfanul · 03.04.2011, 21:24

mmh. der laptop ist wieder abgeschmiert. vielleicht ist noch hilfreich das
cofi.exe vorher eine warnmeldung gegeben hat:

"combofix hat rootkitaktivitaeten festegestellt und muss den rechner neu starten

da habe ich dann auf ok geklickt. (beide male), er ist neu gestartet und das programm hat vor nem bluescreen angefangen zu suchen...

oh man. das hoert sich nicht gut an (hab mich dann gerade auch mal schlau gemacht was das eigentlich ist...)

sollte ich nun onlinebanking etc erst mal lassen von diesem rechner?

beim ersten mal hat das programm es bis zu nem schritt geschafft, wo er irgendwas loeschte, beim zweiten mal hat es bei "aufgabe 5" aufgehoert.

oder muss ich jedesmal bevor ich das mit dem cofi.exe machen, den cleaner neu durchlaufen lassen??

cosinus · 04.04.2011, 11:23

Lösch die jetzige cofi.exe und lad CF neu als cofi.exe herunter. Starte Windows neu und probier es nochmal.

irfanul · 04.04.2011, 17:13

Hallo Arne,
also ich habe es heute noch 2 mal verscuht.
immer wieder das gleiche ergebniss. nachdem "fertigestellt Aufgabe 5" friert der laptop ein.

habe antivir deaktiviert (bekomm es nicht ganz ausgeschaltet, aber der schirm unten rechts ist geschlossen..)
die windows firewall habe ich deaktiviert.

aber kann es vielleicht sein:

cofi.exe startet den rechner ja neu. hab mir nun gerade ueberlegt, dass dann ja auch das antivir wieder automatisch angeht?

Haengt es vielleicht damit zusammen? ich finde allerdings auch nichts, wie ich antivir davon abhalten kann, automatisch zu starten...

Ich bin ratlos.

cosinus · 04.04.2011, 19:27

Du kannst AntiVir nochmal vorübergehend deinstallieren. Aber normalerweise gibt es mit installiertem wohlgemerkt aber deaktiviertem AntiVir keine Probleme. Nur manche Scanner mag CF nicht.

Sollte es auch mit deinstalliertem AntiVir nicht gehen, probierst du CF im abgesicherten Modus mit Netzwerktreibern aus.

irfanul · 04.04.2011, 19:35

dann versuch ich das grad mal.. danach kann ichs aber direkt wieder installieren? bzw sollte ich wahrscheinlich auch..
die firewall muss aber auch aus?

cosinus · 04.04.2011, 20:24

Du kannst AntiVir installieren wenn wir hier durch sind.

irfanul · 04.04.2011, 21:07

also, ich habe es nochmal versucht.

antivir deinstalliert, firewall ausgeschaltet.
cofi.exe neu geladen. diesen cleaner benutzt, laptop neu gestartet.

bei der rootkitwarnmeldung wieder auf ok geklickt.

cofi.exe gestartet, bei schritt 30 eingefroren.

dann alles nochmal, und im safe modus gestartet (mit netzwerk) einstellungen.

bei rootkitwarnung wieder auf ok geklickt, also hat das programm den laptop neugestartet (allerdings dann im normalen modus) und ist bei 6A eingefroren.

Spielt vllt auch gar keine rolle, wo er einfriert, aber ich sags einfach mal dazu.

ach mensch. wer denkt sich bloss solchen mist aus! (also ich meine viren und trojaner und dieses zeugs...)

wenn ich das programm runterlade, (also mit rechtsklick, ziel speichern unter:
kann ich auswaehlen: binary file oder alle dateien., habe da auch schon beide varianten versucht. das sind allerdings die einzigen die mir zur auswahl stehen..)

gibts da nicht n anderes programm? ich weiss echt nicht was ich nun noch falsch gemacht haben koennte..???

04.04.2011, 11:23	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Redirect von google und extrem langsames laden von Inet Seiten, bzw gar kein laden. Lösch die jetzige cofi.exe und lad CF neu als cofi.exe herunter. Starte Windows neu und probier es nochmal. __________________ Logfiles bitte immer in CODE-Tags posten

04.04.2011, 20:24	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Redirect von google und extrem langsames laden von Inet Seiten, bzw gar kein laden. Du kannst AntiVir installieren wenn wir hier durch sind. __________________ Logfiles bitte immer in CODE-Tags posten

Redirect von google und extrem langsames laden von Inet Seiten, bzw gar kein laden.

Plagegeister aller Art und deren Bekämpfung: Redirect von google und extrem langsames laden von Inet Seiten, bzw gar kein laden.