Trojaner eingefangen, Firefox öffnet sich nur mit searchqu

agh · 26.07.2011, 17:22

Hi!

Habe bereits gegooglet und sorgfältig Eure Regeln gelesen.
Obwohl ich mir sicher bin, dass ich einen Trojaner habe, poste ich hier, da ich bereits beim Erstellen des ersten logfiles mit defogger Probleme hatte. Ich wurde nach dem Scan nicht zum Neustart aufgefordert, habe dann aber dennoch einen Neustart durchgeführt. Auch danach ist kein logfile auf meinem Desktop gespeichert worden. Sorry.

Mein eigentliches Problem: Firefox zeigt als 'Home' Seite plötzlich immer hxxp://www.searchqu.com/406 an statt Google und lässt sich auch nicht ändern.

Ich hoffe, Ihr könnt mit helfen.

Danke und Grüße
agh

M-K-D-B · 26.07.2011, 20:07

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Zitat:

Ich wurde nach dem Scan nicht zum Neustart aufgefordert, habe dann aber dennoch einen Neustart durchgeführt. Auch danach ist kein logfile auf meinem Desktop gespeichert worden.

Für gewöhnlich befindet sich das Logfile schon auf dem Desktop.

Wenn es sich nicht auf dem Desktop des angemeldeten Benutzers befindet, dann wahrscheinlich auf einem anderen Konto (z. B. auf dem des Administrators).

Bitte lies dir folgende Themen sorgfältig durch:

Erstelle anschließend die gewünschten Logfiles von Defogger, OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis.

agh · 26.07.2011, 20:36

Hi,

danke für die schnelle Antwort.

Ich habe jetzt noch mal defogger versucht und es besteht immer noch das gleiche Problem, also keine Aufforderung zum Neustart und auch kein logfile auf dem Desktop. Da der Administrator ich selbst bin, kann es auch auf keinem anderen Desktop liegen oder? Und wenn doch, wie komme ich da ran (ich habe meines Wissens keine anderen Accounts auf meinem Rechner).
Wie soll ich jetzt vorgehen?

Merci

M-K-D-B · 26.07.2011, 21:05

Hall agh,

Zitat:

Zitat von agh

Wie soll ich jetzt vorgehen?

Poste bitte die Logfiles von OTL und GMER.

agh · 26.07.2011, 21:53

Na dann hoffe ich mal, ich mach das alles hier richtig ...
Heisst GMER, sind aber alle drei Dateien drin ... ;-)

M-K-D-B · 26.07.2011, 22:24

Hallo agh,

Zitat:

Zitat von agh

Na dann hoffe ich mal, ich mach das alles hier richtig ...

Fast alles...

Zitat:

Zitat von agh

Heisst GMER, sind aber alle drei Dateien drin ... ;-)

Hast du meine Einführungsworte überlesen?

Zitat:

Zitat von M-K-D-B

Bitte beachte folgende Hinweise:
...
Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
...

Zitat:

OTL by OldTimer - Version 3.2.26.1 Folder = C:\Documents and Settings\***\My Documents\Downloads

Du solltest OTL auf dem Desktop abspeichern und von dort starten. Lies dir bitte die Anleitungen genau durch, das ist wichtig!

Zitat:

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800

Du hast heute MBAM installiert, vermutlich auch einen Suchlauf gestartet. Wieso postest du dann nicht gleich das Logfile (zu finden unter dem Tab Logdateien)? Das verstehe ich nicht... so könnten wir uns jede Menge Arbeit ersparen.

Schritt # 1: Mehrere Anti-Virus-Programme

Code:

ATTFilter

Trend Micro Internet Security
Avira AntiVir Personal - Free Antivirus

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.

Zitat:

Speedy hat letztens eine einleuchtende Erklärung dazu geliefert: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."

Schritt # 2: Deinstallation von Programmen

Folge folgendem Pfad: Start -> Systemsteuerung -> Software
Suche in der Liste Software mit dem folgenden Namen
- Windows iLivid Toolbar
und deinstalliere das Programm.
Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 3: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

eine Rückmeldung, für welches AV-Programm du dich entschieden hast,
eventuell auftretenden Probleme bei der Deinstallation von Windows iLivid Toolbar und
das Logfile von ComboFix.

agh · 27.07.2011, 19:00

Hey,

sorry für die Fehler, die ich gemacht habe. Ich glaub, Du musst ein bißchen geduldig mit mir sein, bin echt kein Computerheld und schon froh, dass ich das alles irgendwie geschafft habe bis hierhin.

OTL hab ich nicht auf den Desktop bekommen, weil ich nicht gefragt wurde, wo es gespeichert werden soll. Wie gesagt, bin kein Held.

Wegen MBAM...das hatte ich schon wieder vergessen, weil mein Problem davon nicht gelöst wurde. :-(

Zu den Codeboxen: Ich klicke auf das Symbol und füge dann den gesamten Inhalt der MBAM log zwischen den Klammern ein? Wenn das so richtig ist, dann schicke ich sie Dir noch hinterher.

Außerdem kümmere ich mich jetzt um Deine nächsten Schritte und melde mich dann wieder.
Danke!

ahg

agh · 27.07.2011, 20:31

Alle Schritte befolgt. Habe mich für Avira AntiVir enschieden.
Bestätigst Du mir bitte noch meine vorherige Frage zu den Codboxen, damit ich nichts flasch mache. Dann kann ich die logs schicken.
Danke.
agh

M-K-D-B · 28.07.2011, 17:34

Hallo agh,

Zitat:

Zitat von agh

sorry für die Fehler, die ich gemacht habe. Ich glaub, Du musst ein bißchen geduldig mit mir sein, bin echt kein Computerheld und schon froh, dass ich das alles irgendwie geschafft habe bis hierhin.

Schon in Ordnung.

Zitat:

Zitat von agh

OTL hab ich nicht auf den Desktop bekommen, weil ich nicht gefragt wurde, wo es gespeichert werden soll. Wie gesagt, bin kein Held.

In jedem Browser kann man einstellen, wo eine Datei gespeichert werden soll.

Wenn du mal Zeit hast, kannst du dich damit ja mal beschäftigen.
Zudem kannst du jede Datei von einem Ordner ganz einfach auf den Desktop verschieben.

Zitat:

Zitat von agh

Wegen MBAM...das hatte ich schon wieder vergessen, weil mein Problem davon nicht gelöst wurde. :-(

Davon hätte ich gerne alle Logfiles.

Zitat:

Zitat von agh

Zu den Codeboxen: Ich klicke auf das Symbol und füge dann den gesamten Inhalt der MBAM log zwischen den Klammern ein?

Korrekt!
Es gibt hier auch einen "Vorschau"-Button, damit kannst du dir deinen Post nochmal ansehen, bevor du ihn postest.

Zitat:

Zitat von agh

Habe mich für Avira AntiVir enschieden.

Vielen Dank für die Rückmeldung.

Ich warte auf deine Antwort.

agh · 28.07.2011, 19:26

So bitteschön! Unten hängen die Logfiles an. Von MBAM gabs nur eine.

Zitat:

In jedem Browser kann man einstellen, wo eine Datei gespeichert werden soll. Wenn du mal Zeit hast, kannst du dich damit ja mal beschäftigen.

Hab ich doch schon längst, um Deine Geduld nicht überzustrapazieren! ;-)

Grüße
agh

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7283

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.07.2011 17:51:24
mbam-log-2011-07-26 (17-51-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154746
Laufzeit: 9 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7B9A715E-9D87-4C21-BF9E-F914F2FA953F} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{D6F180CB-E683-41a3-8CD2-C53DBAA0530D} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Pugi.PugiObj.1 (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Pugi.PugiObj (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{D6F180CB-E683-41A3-8CD2-C53DBAA0530D} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{D6F180CB-E683-41A3-8CD2-C53DBAA0530D} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Rightdown SoftwareRightdown Software SearchBar (Adware.ISTBar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D6F180CB-E683-41A3-8CD2-C53DBAA0530D} (Adware.ISTBar) -> Value: {D6F180CB-E683-41A3-8CD2-C53DBAA0530D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{D6F180CB-E683-41A3-8CD2-C53DBAA0530D} (Adware.ISTBar) -> Value: {D6F180CB-E683-41A3-8CD2-C53DBAA0530D} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\SABER\V2009 (Trojan.Buzus) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\program files\rightdown software searchbar\rssb.dll (Adware.ISTBar) -> Quarantined and deleted successfully.
c:\SABER\V2009\Desktop.ini (Trojan.Buzus) -> Quarantined and deleted successfully.

Code:

ATTFilter

ComboFix 11-07-27.02 - Diane Raimondo 27.07.2011  20:59:49.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1033.18.1015.271 [GMT 2:00]
ausgeführt von:: c:\documents and settings\Diane Raimondo\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\service
c:\windows\system32\service\01042011_TIS17_SfFniAU.log
c:\windows\system32\service\16042011_TIS17_SfFniAU.log
c:\windows\system32\service\21102010_TIS17_SfFniAU.log
c:\windows\system32\service\27102010_TIS17_SfFniAU.log
c:\windows\system32\Thumbs.db
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-27 bis 2011-07-27  ))))))))))))))))))))))))))))))
.
.
2011-07-26 15:40 . 2011-07-26 15:40	--------	d-----w-	c:\documents and settings\Diane Raimondo\Application Data\Malwarebytes
2011-07-26 15:40 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-26 15:40 . 2011-07-26 15:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-07-26 15:40 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-26 15:40 . 2011-07-26 15:40	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-07-25 17:50 . 2011-07-25 17:50	--------	d-----w-	c:\windows\system32\RTCOM
2011-07-25 17:50 . 2009-03-20 14:31	880640	----a-w-	c:\windows\system32\RTSndMgr.CPL
2011-07-25 17:50 . 2009-01-21 13:54	1206816	----a-w-	c:\windows\RtlUpd.exe
2011-07-25 17:50 . 2008-10-23 15:42	290816	----a-w-	c:\windows\vncutil.exe
2011-07-25 17:50 . 2008-08-19 11:26	77824	----a-w-	c:\windows\SOUNDMAN.EXE
2011-07-25 17:50 . 2007-11-20 16:15	1826816	----a-w-	c:\windows\SkyTel.exe
2011-07-25 17:50 . 2008-06-19 14:27	9715200	----a-w-	c:\windows\RTLCPL.EXE
2011-07-25 17:50 . 2009-03-30 15:13	5063168	----a-w-	c:\windows\system32\drivers\RtkHDAud.sys
2011-07-25 17:50 . 2009-03-17 12:07	122880	----a-w-	c:\windows\RtkAudioService.exe
2011-07-25 17:50 . 2009-03-27 09:22	17567744	----a-w-	c:\windows\RTHDCPL.EXE
2011-07-25 17:50 . 2009-03-10 12:32	2168320	----a-w-	c:\windows\MicCal.exe
2011-07-25 17:50 . 2006-01-04 13:41	1389056	----a-w-	c:\windows\system32\drivers\Monfilt.sys
2011-07-25 17:49 . 2008-08-05 18:10	1684736	----a-w-	c:\windows\system32\drivers\Ambfilt.sys
2011-07-25 17:49 . 2008-06-19 14:42	2808832	----a-w-	c:\windows\ALCWZRD.EXE
2011-07-25 17:49 . 2008-06-19 14:24	278528	----a-w-	c:\windows\system32\ALSNDMGR.CPL
2011-07-25 17:49 . 2009-03-02 09:14	57344	----a-w-	c:\windows\ALCMTR.EXE
2011-07-25 17:49 . 2009-03-17 11:58	540672	----a-w-	c:\windows\RtlExUpd.dll
2011-07-24 19:40 . 2011-07-24 19:44	--------	d-----w-	c:\program files\Real
2011-07-24 18:39 . 2008-04-13 22:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2011-07-24 18:23 . 2011-07-24 18:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\boost_interprocess
2011-07-24 16:49 . 2011-07-24 16:49	--------	d-----w-	c:\documents and settings\Diane Raimondo\Local Settings\Application Data\Ilivid Player
2011-07-24 16:48 . 2011-07-24 17:00	--------	d-----w-	c:\program files\iLivid
2011-07-24 16:47 . 2011-07-27 18:48	--------	d-----w-	c:\program files\Windows iLivid Toolbar
2011-07-24 16:47 . 2011-07-24 16:47	--------	d-----w-	c:\documents and settings\Diane Raimondo\Local Settings\Application Data\PackageAware
2011-07-24 14:25 . 2011-07-24 14:25	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-23 16:54 . 2011-07-24 16:53	--------	d-----w-	c:\program files\Graboid
2011-07-18 20:17 . 2011-07-18 20:17	--------	d-----w-	c:\program files\Common Files\Canon
2011-06-29 17:12 . 2011-06-29 17:12	2106216	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-06-29 17:12 . 2011-06-29 17:12	1998168	----a-w-	c:\program files\Mozilla Firefox\d3dx9_43.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-30 20:44 . 2011-05-30 20:57	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-06-30 20:44 . 2011-05-30 20:57	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-06-02 14:02 . 2010-01-07 00:08	1858944	----a-w-	c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2010-01-07 01:19	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2010-01-07 00:08	151552	----a-w-	c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2010-01-07 00:08	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-06-29 17:12 . 2011-06-02 14:19	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\Diane Raimondo\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\Diane Raimondo\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\Diane Raimondo\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\Diane Raimondo\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-09 401072]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2009-12-12 994216]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-05-09 98304]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2009-06-26 118784]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-04-09 79144]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2010-01-29 751592]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"removeSearchqudatamngr"="RD" [X]
"removeSearchqutoolbar"="RD" [X]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
.
c:\documents and settings\Diane Raimondo\Start Menu\Programs\Startup\
Dropbox.lnk - c:\documents and settings\Diane Raimondo\Application Data\Dropbox\bin\Dropbox.exe [2011-5-25 24176560]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2010-1-7 385024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-27 00:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\Diane Raimondo\\Application Data\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Avira\\AntiVir Desktop\\avcenter.exe"=
.
R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [23.07.2010 04:38 11448]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [30.05.2011 22:57 136360]
R2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [28.02.2010 02:33 821664]
R2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [24.04.2010 01:10 483688]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [28.08.2009 08:40 38912]
R3 Sftfs;Sftfs;c:\windows\system32\drivers\Sftfsxp.sys [02.12.2009 22:23 554344]
R3 Sftplay;Sftplay;c:\windows\system32\drivers\Sftplayxp.sys [02.12.2009 22:23 211432]
R3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirxp.sys [02.12.2009 22:23 20584]
R3 Sftvol;Sftvol;c:\windows\system32\drivers\Sftvolxp.sys [02.12.2009 22:23 18280]
R3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [24.04.2010 01:10 209768]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [25.07.2011 19:49 1684736]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [26.07.2011 17:40 41272]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 SCR3xx USB Smart Card Reader;SCR3xx USB Smart Card Reader;c:\windows\system32\drivers\SCR3XX2K.sys [23.07.2010 04:26 47488]
S3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [07.01.2010 20:30 39040]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.searchqu.com/406
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: bing.com
Trusted Zone: doccentral.com
Trusted Zone: fnismls.com
Trusted Zone: getmedianow.com
Trusted Zone: live.com
Trusted Zone: rdesk.com
Trusted Zone: rexplorer.net
Trusted Zone: safemls.net
Trusted Zone: showingtime.com
Trusted Zone: sitexdata.com
Trusted Zone: spellchecker.net
Trusted Zone: transactionpoint.com
Trusted Zone: trpoint.com
Trusted Zone: xmlsweb.com
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Diane Raimondo\Application Data\Mozilla\Firefox\Profiles\dqyohhf8.default\
FF - prefs.js: browser.search.selectedEngine - Search Results
FF - prefs.js: browser.startup.homepage - hxxp://www.searchqu.com/406
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=102&systemid=406&q=
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-10 - (no file)
HKLM-Run-snp2uvc - c:\windows\vsnp2uvc.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-27 21:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-27  21:19:16
ComboFix-quarantined-files.txt  2011-07-27 19:19
.
Vor Suchlauf: 110.775.898.112 bytes free
Nach Suchlauf: 111.277.486.080 bytes free
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - DDF1033480B07F5289CDAFFB29B4AD20

M-K-D-B · 28.07.2011, 19:51

Hallo agh,

Kennst du alle diese Internetseiten?

Zitat:

Trusted Zone: bing.com
Trusted Zone: doccentral.com
Trusted Zone: fnismls.com
Trusted Zone: getmedianow.com
Trusted Zone: live.com
Trusted Zone: rdesk.com
Trusted Zone: rexplorer.net
Trusted Zone: safemls.net
Trusted Zone: showingtime.com
Trusted Zone: sitexdata.com
Trusted Zone: spellchecker.net
Trusted Zone: transactionpoint.com
Trusted Zone: trpoint.com
Trusted Zone: xmlsweb.com

Hast du diese Adressen zu den "vertrauenswürdigen Seiten" im Internet Explorer hinzugefügt? Was kannst du mir darüber sagen?

Schritt # 2: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

Folder::
c:\program files\Windows iLivid Toolbar

DDS::
uStart Page = http://www.searchqu.com/406
uInternet Settings,ProxyOverride = *.local

FireFox::
FF - ProfilePath - c:\documents and settings\Diane Raimondo\Application Data\Mozilla\Firefox\Profiles\dqyohhf8.default\
FF - prefs.js: browser.search.selectedEngine - Search Results
FF - prefs.js: browser.startup.homepage - http://www.searchqu.com/406
FF - prefs.js: keyword.URL - http://dts.search-results.com/sr?src=ffb&appid=102&systemid=406&q=
FF - prefs.js: network.proxy.type - 0

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen und
das neue Logfile von ComboFix.

agh · 28.07.2011, 20:46

Avira meldet mir TR/Trash.Gen. Nur zur Info. Darf ich löschen?

Grüße
agh

M-K-D-B · 28.07.2011, 20:57

Hallo agh,

Zitat:

Zitat von agh

Avira meldet mir TR/Trash.Gen. Nur zur Info. Darf ich löschen?

In Quarantäne verschieben und den Bericht dazu bitte posten.

Anschließend bitte die Anweisungen befolgen

Vielen Dank.

agh · 28.07.2011, 21:26

Hey,

zu Deiner Frage: Mit Ausnahme von Bing.com kenne ich keine der Seiten. Benutze aber auch nur Firefox (da ging immer Bing.com auf, was ich auch nicht brauche). Muss dazu sagen, dass ich das Netbook im Januar gebraucht gekauft habe... wer weiß, was da vorher so eingestellt wurde.

Code:

ATTFilter

ComboFix 11-07-28.06 - *** 28.07.2011  22:03:48.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1033.18.1015.440 [GMT 2:00]
ausgeführt von:: c:\documents and settings\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\documents and settings\***\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-28 bis 2011-07-28  ))))))))))))))))))))))))))))))
.
.
2011-07-26 15:40 . 2011-07-26 15:40	--------	d-----w-	c:\documents and settings\***\Application Data\Malwarebytes
2011-07-26 15:40 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-26 15:40 . 2011-07-26 15:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-07-26 15:40 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-26 15:40 . 2011-07-26 15:40	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-07-25 17:50 . 2011-07-25 17:50	--------	d-----w-	c:\windows\system32\RTCOM
2011-07-25 17:50 . 2009-03-20 14:31	880640	----a-w-	c:\windows\system32\RTSndMgr.CPL
2011-07-25 17:50 . 2009-01-21 13:54	1206816	----a-w-	c:\windows\RtlUpd.exe
2011-07-25 17:50 . 2008-10-23 15:42	290816	----a-w-	c:\windows\vncutil.exe
2011-07-25 17:50 . 2008-08-19 11:26	77824	----a-w-	c:\windows\SOUNDMAN.EXE
2011-07-25 17:50 . 2007-11-20 16:15	1826816	----a-w-	c:\windows\SkyTel.exe
2011-07-25 17:50 . 2008-06-19 14:27	9715200	----a-w-	c:\windows\RTLCPL.EXE
2011-07-25 17:50 . 2009-03-30 15:13	5063168	----a-w-	c:\windows\system32\drivers\RtkHDAud.sys
2011-07-25 17:50 . 2009-03-17 12:07	122880	----a-w-	c:\windows\RtkAudioService.exe
2011-07-25 17:50 . 2009-03-27 09:22	17567744	----a-w-	c:\windows\RTHDCPL.EXE
2011-07-25 17:50 . 2009-03-10 12:32	2168320	----a-w-	c:\windows\MicCal.exe
2011-07-25 17:50 . 2006-01-04 13:41	1389056	----a-w-	c:\windows\system32\drivers\Monfilt.sys
2011-07-25 17:49 . 2008-08-05 18:10	1684736	----a-w-	c:\windows\system32\drivers\Ambfilt.sys
2011-07-25 17:49 . 2008-06-19 14:42	2808832	----a-w-	c:\windows\ALCWZRD.EXE
2011-07-25 17:49 . 2008-06-19 14:24	278528	----a-w-	c:\windows\system32\ALSNDMGR.CPL
2011-07-25 17:49 . 2009-03-02 09:14	57344	----a-w-	c:\windows\ALCMTR.EXE
2011-07-25 17:49 . 2009-03-17 11:58	540672	----a-w-	c:\windows\RtlExUpd.dll
2011-07-24 19:40 . 2011-07-24 19:44	--------	d-----w-	c:\program files\Real
2011-07-24 18:39 . 2008-04-13 22:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2011-07-24 18:23 . 2011-07-24 18:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\boost_interprocess
2011-07-24 16:49 . 2011-07-24 16:49	--------	d-----w-	c:\documents and settings\***\Local Settings\Application Data\Ilivid Player
2011-07-24 16:48 . 2011-07-24 17:00	--------	d-----w-	c:\program files\iLivid
2011-07-24 16:47 . 2011-07-24 16:47	--------	d-----w-	c:\documents and settings\***\Local Settings\Application Data\PackageAware
2011-07-24 14:25 . 2011-07-24 14:25	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-23 16:54 . 2011-07-24 16:53	--------	d-----w-	c:\program files\Graboid
2011-07-18 20:17 . 2011-07-18 20:17	--------	d-----w-	c:\program files\Common Files\Canon
2011-06-29 17:12 . 2011-06-29 17:12	2106216	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-06-29 17:12 . 2011-06-29 17:12	1998168	----a-w-	c:\program files\Mozilla Firefox\d3dx9_43.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-30 20:44 . 2011-05-30 20:57	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-06-30 20:44 . 2011-05-30 20:57	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-06-02 14:02 . 2010-01-07 00:08	1858944	----a-w-	c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2010-01-07 01:19	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-06-29 17:12 . 2011-06-02 14:19	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-07-27_19.09.20   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-28 17:10 . 2011-07-28 17:10	16384              c:\windows\Temp\Perflib_Perfdata_7e4.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\***\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\***\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\***\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\documents and settings\***\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-09 401072]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2009-12-12 994216]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-05-09 98304]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2009-06-26 118784]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-04-09 79144]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2010-01-29 751592]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
.
c:\documents and settings\***\Start Menu\Programs\Startup\
Dropbox.lnk - c:\documents and settings\***\Application Data\Dropbox\bin\Dropbox.exe [2011-5-25 24176560]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2010-1-7 385024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-27 00:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\***\\Application Data\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Avira\\AntiVir Desktop\\avcenter.exe"=
.
R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [23.07.2010 04:38 11448]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [30.05.2011 22:57 136360]
R2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [28.02.2010 02:33 821664]
R2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [24.04.2010 01:10 483688]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [28.08.2009 08:40 38912]
R3 Sftfs;Sftfs;c:\windows\system32\drivers\Sftfsxp.sys [02.12.2009 22:23 554344]
R3 Sftplay;Sftplay;c:\windows\system32\drivers\Sftplayxp.sys [02.12.2009 22:23 211432]
R3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirxp.sys [02.12.2009 22:23 20584]
R3 Sftvol;Sftvol;c:\windows\system32\drivers\Sftvolxp.sys [02.12.2009 22:23 18280]
R3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [24.04.2010 01:10 209768]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [25.07.2011 19:49 1684736]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [26.07.2011 17:40 41272]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 SCR3xx USB Smart Card Reader;SCR3xx USB Smart Card Reader;c:\windows\system32\drivers\SCR3XX2K.sys [23.07.2010 04:26 47488]
S3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [07.01.2010 20:30 39040]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: bing.com
Trusted Zone: doccentral.com
Trusted Zone: fnismls.com
Trusted Zone: getmedianow.com
Trusted Zone: live.com
Trusted Zone: rdesk.com
Trusted Zone: rexplorer.net
Trusted Zone: safemls.net
Trusted Zone: showingtime.com
Trusted Zone: sitexdata.com
Trusted Zone: spellchecker.net
Trusted Zone: transactionpoint.com
Trusted Zone: trpoint.com
Trusted Zone: xmlsweb.com
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\***\Application Data\Mozilla\Firefox\Profiles\dqyohhf8.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-28 22:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(860)
c:\windows\system32\WININET.dll
c:\documents and settings\***\Application Data\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-07-28  22:12:19
ComboFix-quarantined-files.txt  2011-07-28 20:12
ComboFix2.txt  2011-07-27 19:19
.
Vor Suchlauf: 111.326.400.512 bytes free
Nach Suchlauf: 111.308.185.600 bytes free
.
- - End Of File - - A00CBE416270E473DB76C54F7E749316

Zwei Virusmeldungen bekommen, hier die Reports:

Code:

ATTFilter

Avira AntiVir Personal
Report file date: Thursday, July 28, 2011  20:18

Scanning for 3294984 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee        : Avira AntiVir Personal - Free Antivirus
Serial number   : 0000149996-ADJIE-0000001
Platform        : Windows XP
Windows version : (Service Pack 3)  [5.1.2600]
Boot mode       : Normally booted
Username        : SYSTEM
Computer name   : ***

Version information:
BUILD.DAT       : 10.2.0.696     35934 Bytes  29.06.2011 17:32:00
AVSCAN.EXE      : 10.3.0.7      484008 Bytes  30.06.2011 20:44:24
AVSCAN.DLL      : 10.0.5.0       47464 Bytes  30.06.2011 20:44:24
LUKE.DLL        : 10.3.0.5       45416 Bytes  30.06.2011 20:44:25
LUKERES.DLL     : 10.0.0.1       12648 Bytes  10.02.2010 22:40:49
AVSCPLR.DLL     : 10.3.0.7      119656 Bytes  30.06.2011 20:44:26
AVREG.DLL       : 10.3.0.9       88833 Bytes  14.07.2011 21:21:05
VBASE000.VDF    : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF    : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:47
VBASE002.VDF    : 7.11.3.0     1950720 Bytes  09.02.2011 14:15:47
VBASE003.VDF    : 7.11.5.225   1980416 Bytes  07.04.2011 20:58:13
VBASE004.VDF    : 7.11.8.178   2354176 Bytes  31.05.2011 06:40:47
VBASE005.VDF    : 7.11.10.251  1788416 Bytes  07.07.2011 00:01:56
VBASE006.VDF    : 7.11.10.252     2048 Bytes  07.07.2011 00:01:56
VBASE007.VDF    : 7.11.10.253     2048 Bytes  07.07.2011 00:01:56
VBASE008.VDF    : 7.11.10.254     2048 Bytes  07.07.2011 00:01:56
VBASE009.VDF    : 7.11.10.255     2048 Bytes  07.07.2011 00:01:56
VBASE010.VDF    : 7.11.11.0       2048 Bytes  07.07.2011 00:01:56
VBASE011.VDF    : 7.11.11.1       2048 Bytes  07.07.2011 00:01:56
VBASE012.VDF    : 7.11.11.2       2048 Bytes  07.07.2011 00:01:56
VBASE013.VDF    : 7.11.11.75    688128 Bytes  12.07.2011 21:19:08
VBASE014.VDF    : 7.11.11.104   978944 Bytes  13.07.2011 21:19:29
VBASE015.VDF    : 7.11.11.137   655360 Bytes  14.07.2011 21:19:46
VBASE016.VDF    : 7.11.11.184   699392 Bytes  18.07.2011 18:37:18
VBASE017.VDF    : 7.11.11.214   414208 Bytes  19.07.2011 20:33:19
VBASE018.VDF    : 7.11.11.242   772096 Bytes  20.07.2011 20:33:42
VBASE019.VDF    : 7.11.12.3    1291776 Bytes  20.07.2011 20:34:19
VBASE020.VDF    : 7.11.12.30    844288 Bytes  21.07.2011 12:17:04
VBASE021.VDF    : 7.11.12.67    149504 Bytes  24.07.2011 19:00:08
VBASE022.VDF    : 7.11.12.93    195072 Bytes  25.07.2011 19:00:08
VBASE023.VDF    : 7.11.12.113   150528 Bytes  26.07.2011 17:41:08
VBASE024.VDF    : 7.11.12.114     2048 Bytes  26.07.2011 17:41:08
VBASE025.VDF    : 7.11.12.115     2048 Bytes  26.07.2011 17:41:08
VBASE026.VDF    : 7.11.12.116     2048 Bytes  26.07.2011 17:41:08
VBASE027.VDF    : 7.11.12.117     2048 Bytes  26.07.2011 17:41:08
VBASE028.VDF    : 7.11.12.118     2048 Bytes  26.07.2011 17:41:09
VBASE029.VDF    : 7.11.12.119     2048 Bytes  26.07.2011 17:41:09
VBASE030.VDF    : 7.11.12.120     2048 Bytes  26.07.2011 17:41:09
VBASE031.VDF    : 7.11.12.139    70656 Bytes  27.07.2011 17:41:09
Engineversion   : 8.2.6.18  
AEVDF.DLL       : 8.1.2.1       106868 Bytes  28.03.2011 14:15:27
AESCRIPT.DLL    : 8.1.3.73     1622395 Bytes  16.07.2011 20:25:09
AESCN.DLL       : 8.1.7.2       127349 Bytes  28.03.2011 14:15:27
AESBX.DLL       : 8.2.1.34      323957 Bytes  02.06.2011 09:36:07
AERDL.DLL       : 8.1.9.13      639349 Bytes  14.07.2011 21:20:53
AEPACK.DLL      : 8.2.9.5       676214 Bytes  14.07.2011 21:20:47
AEOFFICE.DLL    : 8.1.2.12      201083 Bytes  16.07.2011 20:25:08
AEHEUR.DLL      : 8.1.2.146    3633527 Bytes  20.07.2011 20:35:11
AEHELP.DLL      : 8.1.17.6      254326 Bytes  20.07.2011 20:34:27
AEGEN.DLL       : 8.1.5.6       401780 Bytes  30.05.2011 20:58:21
AEEMU.DLL       : 8.1.3.0       393589 Bytes  28.03.2011 14:15:19
AECORE.DLL      : 8.1.22.4      196983 Bytes  14.07.2011 21:19:51
AEBB.DLL        : 8.1.1.0        53618 Bytes  28.03.2011 14:15:19
AVWINLL.DLL     : 10.0.0.0       19304 Bytes  28.03.2011 14:15:31
AVPREF.DLL      : 10.0.3.2       44904 Bytes  30.06.2011 20:44:24
AVREP.DLL       : 10.0.0.10     174120 Bytes  30.05.2011 20:58:26
AVARKT.DLL      : 10.0.26.1     255336 Bytes  30.06.2011 20:44:23
AVEVTLOG.DLL    : 10.0.0.9      203112 Bytes  30.06.2011 20:44:23
SQLITE3.DLL     : 3.6.19.0      355688 Bytes  17.06.2010 13:27:22
AVSMTP.DLL      : 10.0.0.17      63848 Bytes  28.03.2011 14:15:30
NETNT.DLL       : 10.0.0.0       11624 Bytes  28.03.2011 14:15:39
RCIMAGE.DLL     : 10.0.0.35    2589544 Bytes  30.06.2011 20:44:22
RCTEXT.DLL      : 10.0.64.0      97640 Bytes  30.06.2011 20:44:22

Configuration settings for the scan:
Jobname.............................: avguard_async_scan
Configuration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_ad8ee9fe\guard_slideup.avp
Logging.............................: Default
Primary action......................: repair
Secondary action....................: quarantine
Scan master boot sector.............: on
Scan boot sector....................: off
Process scan........................: on
Scan registry.......................: off
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: Complete

Start of the scan: Thursday, July 28, 2011  20:18

The scan of running processes will be started
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'plugin-container.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'Dropbox.exe' - '1' Module(s) have been scanned
Scan process 'SuperHybridEngine.exe' - '1' Module(s) have been scanned
Scan process 'Eee Docking.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'igfxext.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'LiveUpdate.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'AsTray.exe' - '1' Module(s) have been scanned
Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned
Scan process 'AsEPCMon.exe' - '1' Module(s) have been scanned
Scan process 'AsAcpiSvr.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'CVHSVC.EXE' - '1' Module(s) have been scanned
Scan process 'sftlist.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sftvsa.exe' - '1' Module(s) have been scanned
Scan process 'SeaPort.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'avshadow.exe' - '1' Module(s) have been scanned
Scan process 'dsNcService.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'SCardSvr.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned

Starting the file scan:

Begin scan in 'C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030912.exe'
C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030912.exe
  [0] Archive type: NSIS
  --> ProgramFilesDir/GameUpdaterSrv_new.exe
      [DETECTION] Is the TR/Dldr.Small.pop Trojan
  [NOTE]      The file was moved to the quarantine directory under the name '4c11094d.qua'.


End of the scan: Thursday, July 28, 2011  20:18
Used time: 00:23 Minute(s)

The scan has been done completely.

      0 Scanned directories
    659 Files were scanned
      2 Viruses and/or unwanted programs were found
      0 Files were classified as suspicious
      0 files were deleted
      0 Viruses and unwanted programs were repaired
      1 Files were moved to quarantine
      0 Files were renamed
      0 Files cannot be scanned
    657 Files not concerned
      2 Archives were scanned
      0 Warnings
      1 Notes

Code:

ATTFilter

Avira AntiVir Personal
Report file date: Thursday, July 28, 2011  21:43

Scanning for 3294984 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee        : Avira AntiVir Personal - Free Antivirus
Serial number   : 0000149996-ADJIE-0000001
Platform        : Windows XP
Windows version : (Service Pack 3)  [5.1.2600]
Boot mode       : Normally booted
Username        : SYSTEM
Computer name   : ***

Version information:
BUILD.DAT       : 10.2.0.696     35934 Bytes  29.06.2011 17:32:00
AVSCAN.EXE      : 10.3.0.7      484008 Bytes  30.06.2011 20:44:24
AVSCAN.DLL      : 10.0.5.0       47464 Bytes  30.06.2011 20:44:24
LUKE.DLL        : 10.3.0.5       45416 Bytes  30.06.2011 20:44:25
LUKERES.DLL     : 10.0.0.1       12648 Bytes  10.02.2010 22:40:49
AVSCPLR.DLL     : 10.3.0.7      119656 Bytes  30.06.2011 20:44:26
AVREG.DLL       : 10.3.0.9       88833 Bytes  14.07.2011 21:21:05
VBASE000.VDF    : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF    : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:47
VBASE002.VDF    : 7.11.3.0     1950720 Bytes  09.02.2011 14:15:47
VBASE003.VDF    : 7.11.5.225   1980416 Bytes  07.04.2011 20:58:13
VBASE004.VDF    : 7.11.8.178   2354176 Bytes  31.05.2011 06:40:47
VBASE005.VDF    : 7.11.10.251  1788416 Bytes  07.07.2011 00:01:56
VBASE006.VDF    : 7.11.10.252     2048 Bytes  07.07.2011 00:01:56
VBASE007.VDF    : 7.11.10.253     2048 Bytes  07.07.2011 00:01:56
VBASE008.VDF    : 7.11.10.254     2048 Bytes  07.07.2011 00:01:56
VBASE009.VDF    : 7.11.10.255     2048 Bytes  07.07.2011 00:01:56
VBASE010.VDF    : 7.11.11.0       2048 Bytes  07.07.2011 00:01:56
VBASE011.VDF    : 7.11.11.1       2048 Bytes  07.07.2011 00:01:56
VBASE012.VDF    : 7.11.11.2       2048 Bytes  07.07.2011 00:01:56
VBASE013.VDF    : 7.11.11.75    688128 Bytes  12.07.2011 21:19:08
VBASE014.VDF    : 7.11.11.104   978944 Bytes  13.07.2011 21:19:29
VBASE015.VDF    : 7.11.11.137   655360 Bytes  14.07.2011 21:19:46
VBASE016.VDF    : 7.11.11.184   699392 Bytes  18.07.2011 18:37:18
VBASE017.VDF    : 7.11.11.214   414208 Bytes  19.07.2011 20:33:19
VBASE018.VDF    : 7.11.11.242   772096 Bytes  20.07.2011 20:33:42
VBASE019.VDF    : 7.11.12.3    1291776 Bytes  20.07.2011 20:34:19
VBASE020.VDF    : 7.11.12.30    844288 Bytes  21.07.2011 12:17:04
VBASE021.VDF    : 7.11.12.67    149504 Bytes  24.07.2011 19:00:08
VBASE022.VDF    : 7.11.12.93    195072 Bytes  25.07.2011 19:00:08
VBASE023.VDF    : 7.11.12.113   150528 Bytes  26.07.2011 17:41:08
VBASE024.VDF    : 7.11.12.114     2048 Bytes  26.07.2011 17:41:08
VBASE025.VDF    : 7.11.12.115     2048 Bytes  26.07.2011 17:41:08
VBASE026.VDF    : 7.11.12.116     2048 Bytes  26.07.2011 17:41:08
VBASE027.VDF    : 7.11.12.117     2048 Bytes  26.07.2011 17:41:08
VBASE028.VDF    : 7.11.12.118     2048 Bytes  26.07.2011 17:41:09
VBASE029.VDF    : 7.11.12.119     2048 Bytes  26.07.2011 17:41:09
VBASE030.VDF    : 7.11.12.120     2048 Bytes  26.07.2011 17:41:09
VBASE031.VDF    : 7.11.12.139    70656 Bytes  27.07.2011 17:41:09
Engineversion   : 8.2.6.18  
AEVDF.DLL       : 8.1.2.1       106868 Bytes  28.03.2011 14:15:27
AESCRIPT.DLL    : 8.1.3.73     1622395 Bytes  16.07.2011 20:25:09
AESCN.DLL       : 8.1.7.2       127349 Bytes  28.03.2011 14:15:27
AESBX.DLL       : 8.2.1.34      323957 Bytes  02.06.2011 09:36:07
AERDL.DLL       : 8.1.9.13      639349 Bytes  14.07.2011 21:20:53
AEPACK.DLL      : 8.2.9.5       676214 Bytes  14.07.2011 21:20:47
AEOFFICE.DLL    : 8.1.2.12      201083 Bytes  16.07.2011 20:25:08
AEHEUR.DLL      : 8.1.2.146    3633527 Bytes  20.07.2011 20:35:11
AEHELP.DLL      : 8.1.17.6      254326 Bytes  20.07.2011 20:34:27
AEGEN.DLL       : 8.1.5.6       401780 Bytes  30.05.2011 20:58:21
AEEMU.DLL       : 8.1.3.0       393589 Bytes  28.03.2011 14:15:19
AECORE.DLL      : 8.1.22.4      196983 Bytes  14.07.2011 21:19:51
AEBB.DLL        : 8.1.1.0        53618 Bytes  28.03.2011 14:15:19
AVWINLL.DLL     : 10.0.0.0       19304 Bytes  28.03.2011 14:15:31
AVPREF.DLL      : 10.0.3.2       44904 Bytes  30.06.2011 20:44:24
AVREP.DLL       : 10.0.0.10     174120 Bytes  30.05.2011 20:58:26
AVARKT.DLL      : 10.0.26.1     255336 Bytes  30.06.2011 20:44:23
AVEVTLOG.DLL    : 10.0.0.9      203112 Bytes  30.06.2011 20:44:23
SQLITE3.DLL     : 3.6.19.0      355688 Bytes  17.06.2010 13:27:22
AVSMTP.DLL      : 10.0.0.17      63848 Bytes  28.03.2011 14:15:30
NETNT.DLL       : 10.0.0.0       11624 Bytes  28.03.2011 14:15:39
RCIMAGE.DLL     : 10.0.0.35    2589544 Bytes  30.06.2011 20:44:22
RCTEXT.DLL      : 10.0.64.0      97640 Bytes  30.06.2011 20:44:22

Configuration settings for the scan:
Jobname.............................: avguard_async_scan
Configuration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_ad8ee9fe\guard_slideup.avp
Logging.............................: Default
Primary action......................: interactive
Secondary action....................: quarantine
Scan master boot sector.............: on
Scan boot sector....................: off
Process scan........................: on
Scan registry.......................: off
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: Complete

Start of the scan: Thursday, July 28, 2011  21:43

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'plugin-container.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'Dropbox.exe' - '1' Module(s) have been scanned
Scan process 'SuperHybridEngine.exe' - '1' Module(s) have been scanned
Scan process 'Eee Docking.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'igfxext.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'LiveUpdate.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'AsTray.exe' - '1' Module(s) have been scanned
Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned
Scan process 'AsEPCMon.exe' - '1' Module(s) have been scanned
Scan process 'AsAcpiSvr.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'CVHSVC.EXE' - '1' Module(s) have been scanned
Scan process 'sftlist.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sftvsa.exe' - '1' Module(s) have been scanned
Scan process 'SeaPort.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'avshadow.exe' - '1' Module(s) have been scanned
Scan process 'dsNcService.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'SCardSvr.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned

Starting the file scan:

Begin scan in 'C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030933.dll'
C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030933.dll
  [DETECTION] Is the TR/Trash.Gen Trojan

Beginning disinfection:
C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030933.dll
  [DETECTION] Is the TR/Trash.Gen Trojan
  [NOTE]      The file was moved to the quarantine directory under the name '4c111b89.qua'.


End of the scan: Thursday, July 28, 2011  21:56
Used time: 00:09 Minute(s)

The scan has been done completely.

      0 Scanned directories
    653 Files were scanned
      1 Viruses and/or unwanted programs were found
      0 Files were classified as suspicious
      0 files were deleted
      0 Viruses and unwanted programs were repaired
      1 Files were moved to quarantine
      0 Files were renamed
      0 Files cannot be scanned
    652 Files not concerned
      1 Archives were scanned
      0 Warnings
      1 Notes


The scan results will be transferred to the Guard.

DANKE!

Schönen Abend
agh

M-K-D-B · 29.07.2011, 08:47

Hallo agh,

Zitat:

Zitat von agh

zu Deiner Frage: Mit Ausnahme von Bing.com kenne ich keine der Seiten.

Danke für die Rückmeldung. Das hab ich mir schon gedacht.

Zitat:

Zitat von agh

Muss dazu sagen, dass ich das Netbook im Januar gebraucht gekauft habe... wer weiß, was da vorher so eingestellt wurde.

Von wem hast du das Netbook? Von einem Verwandten, einem guten Freund oder ledigleich einem Bekannten?
Grundsätzlich ist es bei einem gebrauchten Gerät ratsam, neu aufzusetzen. Man weiß nie, was der Vorbesitzer mit dem Computer alles gemacht hat.
Das Netbook wird andererseits kein DVD-Laufwerk besitzen, oder? Ohne Windows DVD und Laufwerk wird das sowieso schwierig...
Ich schlage vor, wir führen die Bereinigung zu Ende.

Zitat:

Zitat von agh

C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030912.exe

C:\System Volume Information\_restore{D381B82D-B18D-48EB-B0CA-2AC064E0E1C1}\RP91\A0030933.dll

Dabei handelt es sich um zwei Einträge in der Systemwiederherstellung. Solange du den Computer nicht zu einem dieser früheren Punkte wiederherstellst, besteht dadurch keine Gefahr.
Am Ende der Bereinigung kümmern wir uns darum.

Ich hätte gerne einen kleinen Zwischenbericht:
Wie läuft dein Rechner derzeit?
Öffnet Firefox immer noch ungewollte Seiten? Gibt es sonst noch Probleme?

Aufgrund privater Feierlichkeiten bin ich voraussichtlich ab Sonntag Nachmittag wieder online. Bitte poste alle gewünschten Informationen bis dahin. Ich werde mich sofort um dein Thema kümmern, wenn ich wieder da bin.

Schritt # 1: Systemscan mit OTL

Starte bitte OTL.exe.
Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen und
die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Trojaner eingefangen, Firefox öffnet sich nur mit searchqu

Plagegeister aller Art und deren Bekämpfung: Trojaner eingefangen, Firefox öffnet sich nur mit searchqu