Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sirefef.P und Bundestrojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.12.2011, 17:29   #1
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Hallo Trojaner,

ich habe folgendes Problem: Nachdem mir Microsoft Security Essentials (MSE) über eine Woche lang Virenwarnungen angegeben hat und nicht in der Lage war diese zu beseitigen, führte ich die hier angegebene Prozedur zur Analyse des Problems aus. Als ich alle Daten zusammen hatte, begann ich den Beitrag zu schreiben, in welchen ich mein Problem so genau wie möglich schildern wollte. Während dessen, wurde ein Bundestrojaner aktiv. Er gibt sich als Bundespolizei aus, behauptet man hätte Terroristische Aktivitäten, Kinderpornographie und Spamware auf dem Rechner gefunden und sperrt den Account. Seit dem kann ich nur noch über einen zweiten Account auf meinen Rechner zugreifen. Nach kurzer Recherche im Internet, habe ich meine bis zum Crash ungesicherten Daten, mittels einer Boot-CD von Ubuntu 10.10 gesichert. Nun bin ich mir unsicher wie ich weiter vorgehen soll.

Hier im Detail, was passiert ist und was ich getan habe:

Virusmeldungen
Microsoft Security Essentials (MSE) gab mir seit ca. einer Woche nach jedem Hochfahren des Computers und immer mal wieder während des Betriebs die Meldung aus, es habe den Virus Sirefef.P gefunden. Im Verlauf von MSE wird angegeben, dass am 19.11.2012 der Virus Trojan:JS/BlacoleRef.G gefunden und entfernt wurde. Das ständige Problem entstand jedoch erst am 2.12.2012, wo MSE in kurzen Abständen (teilweise Sekundentakt) die Viren Trojan:Win32/Sirefef.S (und Sirefef.P), Trojan:Win64/Sirefef.E (und Sirefef.D), Virus:Win32/Patchload.O, Backdoor:Win32/Cycbot.B, Trojan:JS/Blacoleref.G gefunden und entfernt, desinfiziert oder in Quarantäne gesteckt hat. Nur Virus:Win32/Patchload.O wurde zweimal und Trojan:Win32/Sirefef.P wurde einmal zugelassen, wobei ich mich erinnere, dass ich es einmal selber zugelassen habe, als ich so ein neu aufgetauchtes Problem mit meinem WLAN lösen wollte. Innerhalb von 6 Stunden gab es 57 dieser Meldungen. In den nächsten Tagen gab es immer wieder solche Meldungen, wenn auch wesentlich weniger, mit den gleichen Virentypen. Dabei wurde Trojan:Win32/Sirefef.P heute 1mal zugelassen ohne das ich dies bestätigt hätte. Ein Grund liegt vielleicht darin, dass MSE den Virus zulässt, wenn man nicht aktiv das Löschen bestätigt.

Scans durch MSE und Malwarebytes' Anti-Malware
Nachdem das Problem aufgetreten ist, habe ich mehrfach die Viren mit MSE entfernt, desinfiziert oder in Quarantäne geschoben und nach Empfehlung von MSE den Computer neu gestartet. Nachdem dies nichts geholfen hat, habe ich bei Google nach dem Problem gesucht. Dazu habe ich einen anderen Rechner nutzen müssen, denn mein Netzmanager, welchen ich von der Telekom installiert hatte, startet nicht mehr mit der Meldung „Der Dienst des Netzmanagers für Erfassung von Netzwerk- und Systeminformationen mit dem Namen „Netzmanager Service“ ist nicht erreichbar.“ Daraufhin wurde eine Neuinstallation des Netzmanagers empfohlen, die ich zweimal durchgeführt habe. Ohne Erfolg. In Folge habe ich den kompletten Scan mit MSE im abgesicherten Modus (mit und ohne Netzwerktreiber durchgeführt). Ich habe mir von der Seite Microsoft Malware Protection Center die neuesten Virendefinitionen (mpam-fe.exe) für den MSE herunter geladen und erneut einen Scan im abgesicherten Modus durchgeführt. Ich habe Malwarebytes' Anti-Malware (mbam-setup-1.51.2.1300.exe) herunter geladen, installiert und einen Scan in beiden BS Modi durchgeführt. Leider habe ich zu diesem Zeitpunkt keine Scanberichte gespeichert.

Sonstige installierte und ausgeführte Software
Zur Analyse habe ich zudem dds.scr und SecurityCheck.exe installiert und ausgeführt. Dies war als Hilfe für eine Analyse in einem anderem Forum angedacht, was ich jedoch nicht realisiert hatte (ich wollte zu diesem Zeitpunkt das Problem im Alleingang lösen und habe schnell ausgeführt, was zu dem Problem geschrieben wurde (nicht gerade clever, ich weiß)). Bei der Detailbeschreibung tauchte die Datei lvvm.exe auf. Nach der Recherche habe ich daher sdsetup_revwire207.exe herunter geladen und installiert, um das Problem zu beseitigen. Zudem habe ich die svchostanalyzer.exe installiert und ausgeführt.

Trojaner Board
Für die Problemlösung auf diesem Board habe ich die entsprechenden Analysen durchgeführt und folgende Dateien erhalten (extras_gmer.zip und otl.txt).

Fragen
In der Hilfe wurde geschrieben nur eine Neuinstallation kann das Problem beseitigen. Ich hatte dieses Jahr schon einen Plattencrash und hatte bei der nochmaligen Aktivierung meiner XP-Version Problem mit dem Microsoft Support.

1) Geht das Problem auch ohne Neuinstallation zu lösen?
2) Wie kann ich Sicherstellen, dass sich auf externen Speichern der Virus nicht ebenfalls eingenistet hat?
2) Angeblich soll MSE in der Lage sein sowohl den Bundestrojaner, als auch den Virus Sirefef.P zu beseitigen. Tatsächlich hat das nicht funktioniert. Wie kann ich mich in Zukunft besser schützen?

OTL

OTL logfile created on: 07.12.2011 22:29:31 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = c:\Dokumente und Einstellungen\Glaums\Eigene Dateien\abc...xyz\virus\otl
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1022,73 Mb Total Physical Memory | 645,59 Mb Available Physical Memory | 63,12% Memory free
3,90 Gb Paging File | 3,63 Gb Available in Paging File | 93,04% Paging File free
Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 279,45 Gb Total Space | 179,40 Gb Free Space | 64,20% Space Free | Partition Type: NTFS
Drive D: | 1,89 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive F: | 3,73 Gb Total Space | 0,29 Gb Free Space | 7,86% Space Free | Partition Type: FAT32
Drive I: | 6,67 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 7,47 Gb Total Space | 1,01 Gb Free Space | 13,50% Space Free | Partition Type: FAT32

Computer Name: SCOON | User Name: Glaums | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.12.07 15:39:24 | 000,584,192 | ---- | M] (OldTimer Tools) -- c:\Dokumente und Einstellungen\Glaums\Eigene Dateien\abc...xyz\virus\otl\OTL.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
PRC - [2011.06.15 14:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.04.27 14:39:26 | 000,004,164 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2009.08.27 16:09:10 | 001,250,408 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2008.11.09 21:31:30 | 000,741,376 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\UI.exe
PRC - [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.04.11 18:00:00 | 000,032,768 | R--- | M] (Creative Technology Ltd.) -- C:\WINDOWS\V0470Mon.exe
PRC - [2003.05.29 15:28:32 | 000,790,528 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
PRC - [2002.09.20 14:50:10 | 000,041,968 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


========== Modules (No Company Name) ==========

MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
MOD - [2008.11.09 21:31:30 | 000,741,376 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\UI.exe
MOD - [2008.10.27 03:35:08 | 000,110,592 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\GWLanController.dll
MOD - [2008.09.25 13:04:24 | 000,018,944 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\GWPSController.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.07.13 12:01:28 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2011.04.27 14:39:26 | 000,004,164 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2010.11.04 15:41:46 | 000,011,264 | ---- | M] (Deutsche Telekom AG) [Auto | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2010.02.19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2009.08.27 16:09:10 | 001,250,408 | ---- | M] (MAGIX AG) [Unknown | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008.08.07 10:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2002.09.20 14:50:10 | 000,041,968 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))


========== Driver Services (SafeList) ==========

DRV - [2011.12.07 22:22:23 | 000,041,680 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\xbrfxnbn.sys -- (xbrfxnbn)
DRV - [2011.12.07 22:19:42 | 000,029,904 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A68ADCCD-59CE-4ADC-808D-FD293D86BD16}\MpKsl8631acdb.sys -- (MpKsl8631acdb)
DRV - [2011.09.16 21:55:06 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2011.08.29 01:20:59 | 000,120,320 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV65.sys -- (SSHDRV65)
DRV - [2011.02.11 22:23:34 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2010.09.16 16:02:33 | 000,035,040 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3)
DRV - [2009.01.19 19:31:56 | 000,277,544 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2008.10.29 13:34:40 | 000,644,096 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt2870.sys -- (rt2870)
DRV - [2008.04.13 23:16:10 | 000,049,024 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mstape.sys -- (MSTAPE)
DRV - [2008.04.13 23:16:08 | 000,013,696 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avcstrm.sys -- (AVCSTRM)
DRV - [2007.12.05 06:26:40 | 002,782,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.04.20 18:00:00 | 000,146,368 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\V0470Vid.sys -- (VF0470Vid) Live! Cam Notebook (VF0470)
DRV - [2006.11.28 20:46:20 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PCASp50.sys -- (PCASp50)
DRV - [2005.08.17 23:00:00 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - [2002.09.20 09:53:34 | 000,235,100 | ---- | M] (Analog Devices Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MidiSyn.sys -- (MidiSyn)
DRV - [2002.04.03 19:33:18 | 000,045,568 | ---- | M] (CNet Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

========== FireFox ==========

FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 60727
FF - prefs.js..network.proxy.type: 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\support@predictad.com: C:\Programme\AutocompletePro\support@predictad.com [2011.06.29 16:27:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.07.26 10:20:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 14:29:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.09.19 20:25:23 | 000,000,000 | ---D | M]

[2011.04.27 21:37:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Extensions
[2011.11.17 02:13:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\extensions
[2011.06.01 08:36:08 | 000,000,000 | ---D | M] (Fire.fm) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\extensions\{6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}
[2011.11.25 18:38:51 | 000,001,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\searchplugins\billigerde-suche.xml
[2011.05.26 13:19:00 | 000,002,614 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\searchplugins\wiki-aventurica-de.xml
[2011.11.10 14:29:28 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{37E4D8EA-8BDA-4831-8EA1-89053939A250}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{C0C9A2C7-2E5C-4447-BC53-97718BC91E1B}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{D4DD63FA-01E4-46A7-B6B1-EDAB7D6AD389}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{EF522540-89F5-46B9-B6FE-1829E2B572C6}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\5@THUMBPRO.NET.XPI
[2011.04.26 00:11:48 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.11.10 14:29:24 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.04.26 00:11:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.03.22 19:38:12 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.10.01 17:56:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.01 17:56:58 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.01 17:56:58 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.01 17:56:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.01 17:56:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.01 17:56:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.04.28 19:46:08 | 000,000,882 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll (SimplyGen)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [BrStsWnd] C:\Programme\Brownie\BrstsWnd.exe (brother)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [V0470Mon.exe] C:\WINDOWS\V0470Mon.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Speedport W 102 WLAN Manager.lnk = C:\Programme\DT\Speedport W 102 Stick\UI.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk = C:\Programme\Netzmanager\netzmanager.exe (Deutsche Telekom AG)
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Total Commander.lnk = C:\Programme\totalcmd\TOTALCMD.EXE (Ghisler Software GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Anexar em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Converter destino de link em Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html File not found
O8 - Extra context menu item: Converter destino de link em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Converter links selecionados em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6D27A40D-AB22-4BF3-826D-9AC751A3B760}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{79D1A173-422D-46B5-92A0-BEFC946B3063}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.25 08:36:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.05.30 10:11:12 | 000,000,105 | R--- | M] () - D:\Autorun.inf -- [ UDF ]
O32 - AutoRun File - [2008.05.06 13:26:23 | 000,000,309 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell - "" = AutoRun
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell - "" = AutoRun
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found


CREATERESTOREPOINT
Restore point Set: OTL Restore Point

========== Files/Folders - Created Within 30 Days ==========

File not found -- C:\WINDOWS\System32\
[2011.12.07 22:22:23 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xbrfxnbn.sys
[2011.12.05 15:50:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.12.03 13:02:01 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2011.12.02 20:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Netzmanager
[2011.12.02 20:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2011.12.02 20:04:30 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D8116CA6-DBDF-4415-AB4A-BE0CEFB71935}
[2011.12.02 16:52:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.12.02 16:45:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\12599a67
[2011.12.02 16:42:26 | 000,000,000 | ---D | C] -- C:\Programme\2C2B7
[2011.12.02 16:42:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\C412C
[2011.12.02 16:42:15 | 000,000,000 | ---D | C] -- C:\Programme\LP
[2011.11.21 22:17:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Eigene Dateien\StarCraft II
[2011.11.21 22:17:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
[2011.11.21 13:06:23 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[2011.11.02 14:19:53 | 016,215,808 | ---- | C] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.1.45.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

File not found -- C:\WINDOWS\System32\
[2011.12.07 22:22:23 | 000,041,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xbrfxnbn.sys
[2011.12.07 22:19:49 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.12.07 22:19:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.07 22:16:09 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\defogger_reenable
[2011.12.07 19:33:58 | 000,000,569 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\.dsa4.properties
[2011.12.06 16:06:12 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.04 14:58:43 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2011.12.02 20:36:22 | 000,000,764 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2011.12.02 20:06:15 | 000,000,724 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk
[2011.12.02 02:00:01 | 000,000,348 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SCOON-Glaums.job
[2011.12.02 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SCOON-Admin.job
[2011.12.01 17:12:42 | 000,015,838 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\.heldEinstellungen4_1.xml
[2011.11.12 16:53:44 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.11.09 09:11:14 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.12.07 22:15:47 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\defogger_reenable
[2011.12.02 20:06:15 | 000,000,724 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk
[2011.12.02 20:05:04 | 000,000,764 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2011.12.01 17:37:36 | 001,304,512 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011.11.09 09:11:12 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2011.09.16 19:34:50 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2011.09.16 19:30:39 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\atiiprxx.exe
[2011.09.16 19:30:31 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2011.09.16 19:30:31 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2011.09.16 19:30:31 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2011.09.16 19:30:31 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011.09.16 19:30:30 | 000,000,011 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.ini
[2011.09.16 19:30:03 | 000,472,576 | ---- | C] () -- C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
[2011.08.29 01:20:59 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV65.sys
[2011.07.05 19:23:14 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.07.04 12:16:47 | 000,015,312 | R--- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2011.06.23 11:55:19 | 000,006,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.13 16:59:22 | 001,940,212 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1844237615-1770027372-515967899-1004-0.dat
[2011.05.13 16:59:21 | 000,287,018 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.04.26 17:24:13 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2011.04.26 17:23:12 | 000,007,103 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2011.04.26 00:13:15 | 000,100,352 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2011.04.26 00:13:11 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\libpng13.dll
[2011.04.26 00:13:10 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2011.04.26 00:13:08 | 001,202,763 | ---- | C] () -- C:\WINDOWS\unins002.exe
[2011.04.26 00:13:08 | 000,012,752 | ---- | C] () -- C:\WINDOWS\unins002.dat
[2011.04.26 00:10:24 | 000,709,719 | ---- | C] () -- C:\WINDOWS\unins001.exe
[2011.04.26 00:10:24 | 000,007,963 | ---- | C] () -- C:\WINDOWS\unins001.dat
[2011.04.26 00:09:48 | 001,199,175 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2011.04.26 00:09:48 | 000,012,043 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2011.04.25 21:42:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.25 21:38:42 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2011.04.25 21:38:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2011.04.25 21:38:16 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini
[2011.04.25 21:38:15 | 000,009,868 | ---- | C] () -- C:\WINDOWS\HL-2140.INI
[2011.04.25 21:37:28 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011.04.25 21:37:28 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD2140.DAT
[2011.04.25 21:36:15 | 000,000,270 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2011.04.25 08:39:38 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.25 08:33:00 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.04.25 02:09:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.25 02:05:36 | 003,551,008 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.11 22:23:34 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2008.04.14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 08:00:00 | 000,526,192 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 08:00:00 | 000,501,382 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 08:00:00 | 000,104,880 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 08:00:00 | 000,087,288 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005.04.15 12:52:33 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.04.15 12:52:33 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

========== Custom Scans ==========


< %SYSTEMDRIVE%\*. >
[2011.09.07 09:41:25 | 000,000,000 | ---D | M] -- C:\$NtUninstallXPSEP$
[2011.04.25 08:37:01 | 000,000,000 | ---D | M] -- C:\DELL
[2011.12.03 13:03:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.12.05 15:50:00 | 000,000,000 | ---D | M] -- C:\Programme
[2011.04.27 22:10:04 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.12.07 22:32:09 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.06.10 15:05:32 | 000,000,000 | ---D | M] -- C:\temp
[2011.12.03 13:02:01 | 000,000,000 | ---D | M] -- C:\WINDOWS

< %PROGRAMFILES%\*.exe >
[2011.11.02 11:18:02 | 016,215,808 | ---- | M] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.1.45.exe

Invalid Environment Variable: LOCALAPPDATA

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.manifest /3 >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]


< MD5 for: AFD.SYS >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=2FF2423EB269D233BDEA542E7853AD74 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.04.14 08:00:00 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys
[2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys

< MD5 for: EXPLORER.EXE >
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe

< MD5 for: IPSEC.SYS >
[2008.04.14 08:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.14 08:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys

< MD5 for: REGEDIT.EXE >
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe

< MD5 for: USERINIT.EXE >
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

< MD5 for: WINLOGON.EXE >
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.09.06 15:10:01 | 001,859,072 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-11 11:30:50

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\WINDOWS\$NtUninstallKB30657$] -> Error: Cannot create file handle -> Unknown point type

========== Alternate Data Streams ==========

@Alternate Data Stream - 392 bytes -> C:\WINDOWS\System32\drivers\xbrfxnbn.sys:changelist
@Alternate Data Stream - 101 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BDCD0530

< End of report >

Alt 10.12.2011, 17:45   #2
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
  • Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Ich will hier jetzt erstmal Tatsachen auf den Tisch legen. Die Infektion, welche bei dir vorhanden ist, ist auf einem XP System schwer bis unmöglich zu bereinigen. Ich kann es versuchen, eine Garantie kann ich aber nicht geben, dass wir es auch schaffen.


Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.



Bitte poste in deiner nächsten Antwort
Combofix.txt
__________________

__________________

Alt 10.12.2011, 20:53   #3
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Hallo Daniel,

danke für Deine rasche Antwort! Leider gibt es gleich ein erstes Problem. Im Augenblick bekomme ich meine Internetverbindung am infizierten Rechner nicht zum Laufen. Ich nutze einen W102 Stick und die installierte Software prüft die WLAN-Verschlüssung ohne fertig zu werden. Ein ähnliches Problem hatte ich auch unter Ubuntu, wo es nur ganz kurzfristig lief. Ich werde es noch einmal mit dem Stick meiner Freundin versuchen, weil ich so das Gefühl habe "nebenan" im anderen Account, wartet der "böse" Virus nur darauf, dass ich etwas neues installiere. Ich kann zudem mitteilen, dass ich die Wiederherstellung nach den ersten Angriffen auf Empfehlung ausgestellt hatte, um den Virenverseuchten Zustand nach dem Scan mit MSE nicht wieder herzustellen.

Viele Grüße
Glaums
__________________

Alt 10.12.2011, 20:59   #4
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Zitat:
dass ich die Wiederherstellung nach den ersten Angriffen auf Empfehlung ausgestellt hatte, um den Virenverseuchten Zustand nach dem Scan mit MSE nicht wieder herzustellen.
War sehr klug, weil wenn jetzt was schief geht, habe ich nämlich keinen funktionierenden Punkt mehr -.-

Sonst noch irgendwelche schlauen Aktionen gemacht, ausser eine Menge an Misttools herunter geladen und ausgeführt ?


Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
  • Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
  • Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
  • Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 11.12.2011, 00:25   #5
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Hallo Daniel,

noch vor dem Ausführen, hat MSE zum ersten Mal in diesem Account "Sirefef:P" gefunden und gelöscht. Das nur zur Info. Hier der ComboFix.txt:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-12-10.01 - Admin 11.12.2011   0:55.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.681 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOTEPAD.EXE-x.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\RUNDLL32.EXE-x.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\programme\AutocompletePro
c:\programme\AutocompletePro\AcRemoteUpdate.exe
c:\programme\AutocompletePro\AutocompletePro.dll
c:\programme\AutocompletePro\InstTracker.exe
c:\programme\AutocompletePro\support@predictad.com\chrome.manifest
c:\programme\AutocompletePro\support@predictad.com\chrome\content\browserOverlay.xul
c:\programme\AutocompletePro\support@predictad.com\chrome\content\options.js
c:\programme\AutocompletePro\support@predictad.com\chrome\content\options.xul
c:\programme\AutocompletePro\support@predictad.com\chrome\content\utils.js
c:\programme\AutocompletePro\support@predictad.com\defaults\preferences\predictad.js
c:\programme\AutocompletePro\support@predictad.com\install.rdf
c:\programme\AutocompletePro\TaskScheduler.dll
c:\programme\AutocompletePro\unins000.dat
c:\programme\AutocompletePro\unins000.exe
c:\programme\LP
c:\programme\LP\1BAC\76D.tmp
c:\programme\LP\1BAC\774.tmp
c:\programme\LP\1BAC\775.tmp
c:\programme\LP\1BAC\778.tmp
c:\windows\$NtUninstallKB30657$
c:\windows\$NtUninstallKB30657$\307862119\@
c:\windows\$NtUninstallKB30657$\307862119\L\oznfmxyt
c:\windows\$NtUninstallKB30657$\307862119\loader.tlb
c:\windows\$NtUninstallKB30657$\307862119\U\@00000001
c:\windows\$NtUninstallKB30657$\307862119\U\@000000c0
c:\windows\$NtUninstallKB30657$\307862119\U\@000000cb
c:\windows\$NtUninstallKB30657$\307862119\U\@000000cf
c:\windows\$NtUninstallKB30657$\307862119\U\@80000000
c:\windows\$NtUninstallKB30657$\307862119\U\@800000c0
c:\windows\$NtUninstallKB30657$\307862119\U\@800000cb
c:\windows\$NtUninstallKB30657$\307862119\U\@800000cf
c:\windows\$NtUninstallKB30657$\3640415676
c:\windows\CSC\d6
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\ 
.
Infizierte Kopie von c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe wurde gefunden und desinfiziert 
Kopie von - c:\programme\Netzmanager\NMInfraIS2\  wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-11 bis 2011-12-11  ))))))))))))))))))))))))))))))
.
.
2011-12-11 00:08 . 2011-12-11 00:08	56200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{63C4561F-2FF5-4626-BA91-1F47285BD24D}\offreg.dll
2011-12-10 21:12 . 2005-12-29 17:07	282624	----a-r-	c:\windows\system32\drivers\WG311v3XP.sys
2011-12-10 21:12 . 2011-12-10 21:12	--------	d-----w-	c:\windows\Downloaded Installations
2011-12-10 21:07 . 2011-12-10 23:40	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\U3
2011-12-10 15:24 . 2011-12-10 15:24	--------	d-----w-	c:\programme\DT
2011-12-09 20:10 . 2011-12-09 20:10	--------	d---a-w-	C:\.Trash-999
2011-12-08 13:54 . 2011-11-21 10:47	6823496	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{63C4561F-2FF5-4626-BA91-1F47285BD24D}\mpengine.dll
2011-12-05 14:50 . 2011-12-07 21:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-12-03 12:03 . 2011-12-06 15:03	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2011-12-03 10:15 . 2009-08-06 18:24	15584	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2011-12-02 19:04 . 2011-12-02 20:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Netzmanager
2011-12-02 19:04 . 2011-12-02 19:05	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D8116CA6-DBDF-4415-AB4A-BE0CEFB71935}
2011-12-02 16:35 . 2011-12-02 16:35	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-12-02 15:42 . 2011-12-03 11:56	--------	d-----w-	c:\programme\2C2B7
2011-11-21 21:17 . 2011-11-23 17:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2011-11-21 12:06 . 2011-11-23 20:29	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-21 10:47 . 2011-04-30 00:51	6823496	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-11-12 15:53 . 2011-06-14 07:17	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-02 10:18 . 2011-11-02 13:19	16215808	----a-w-	c:\programme\Dropbox 1.1.45.exe
2011-10-10 14:22 . 2011-04-25 07:33	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-09-28 07:06 . 2008-04-14 07:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2008-07-29 18:59	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2008-04-14 07:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2008-04-14 07:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-16 20:55 . 2011-09-16 20:55	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2011-09-16 18:30 . 2011-09-16 18:30	472576	----a-w-	c:\windows\Radeon Omega Drivers v4.8.442 Uninstall.exe
2011-11-10 13:29 . 2011-04-25 20:41	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BrStsWnd"="c:\programme\Brownie\BrstsWnd.exe" [2009-06-11 3618104]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2011-03-22 74752]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"AdobeCS5ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-07-22 402432]
"SwitchBoard"="c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"AtiPTA"="atiptaxx.exe" [2006-02-22 344064]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"V0470Mon.exe"="c:\windows\V0470Mon.exe" [2007-04-11 32768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\Admin\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Speedport W 102 WLAN Manager.lnk - c:\programme\DT\Speedport W 102 Stick\UI.exe [2008-11-9 741376]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\MirandaFusion\\fusiontools\\updater.exe"=
"c:\\Programme\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Dokumente und Einstellungen\\Glaums\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [29.08.2011 01:20 120320]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 19:31 277544]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 16:09 1250408]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [11.12.2011 01:04 9728]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [11.02.2011 22:23 35088]
S0 cerc6;cerc6; [x]
S1 MpKsl01631821;MpKsl01631821;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7A986D8E-B586-4520-B5B1-5524D7115C58}\MpKsl01631821.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7A986D8E-B586-4520-B5B1-5524D7115C58}\MpKsl01631821.sys [?]
S1 MpKsl028690b0;MpKsl028690b0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BDD1FAB5-DEB5-4A2F-88E1-060AB9B19124}\MpKsl028690b0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BDD1FAB5-DEB5-4A2F-88E1-060AB9B19124}\MpKsl028690b0.sys [?]
S1 MpKsl15779073;MpKsl15779073;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl15779073.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl15779073.sys [?]
S1 MpKsl1dfc60ca;MpKsl1dfc60ca;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{06966FBF-45EB-4A39-9704-96FE61874B7C}\MpKsl1dfc60ca.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{06966FBF-45EB-4A39-9704-96FE61874B7C}\MpKsl1dfc60ca.sys [?]
S1 MpKsl2dfee9d0;MpKsl2dfee9d0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4EC31F19-8401-4071-A35D-3B4E08CADABC}\MpKsl2dfee9d0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4EC31F19-8401-4071-A35D-3B4E08CADABC}\MpKsl2dfee9d0.sys [?]
S1 MpKsl301681f8;MpKsl301681f8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6E03A729-ABDB-437C-8B4A-DE05204EE8A2}\MpKsl301681f8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6E03A729-ABDB-437C-8B4A-DE05204EE8A2}\MpKsl301681f8.sys [?]
S1 MpKsl3867c32e;MpKsl3867c32e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{170C0B33-8BFC-458C-9247-68CB52CC1423}\MpKsl3867c32e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{170C0B33-8BFC-458C-9247-68CB52CC1423}\MpKsl3867c32e.sys [?]
S1 MpKsl3d050dc2;MpKsl3d050dc2;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsl3d050dc2.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsl3d050dc2.sys [?]
S1 MpKsl3d6ae723;MpKsl3d6ae723;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{34279D90-0140-4146-99F9-5C1F9D8CDB3D}\MpKsl3d6ae723.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{34279D90-0140-4146-99F9-5C1F9D8CDB3D}\MpKsl3d6ae723.sys [?]
S1 MpKsl3f3636de;MpKsl3f3636de;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl3f3636de.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl3f3636de.sys [?]
S1 MpKsl44c3afc9;MpKsl44c3afc9;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl44c3afc9.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl44c3afc9.sys [?]
S1 MpKsl50a5bbd0;MpKsl50a5bbd0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl50a5bbd0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl50a5bbd0.sys [?]
S1 MpKsl51379d5b;MpKsl51379d5b;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A4EDA19-93D5-47BE-A98E-241A1ABEC96A}\MpKsl51379d5b.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A4EDA19-93D5-47BE-A98E-241A1ABEC96A}\MpKsl51379d5b.sys [?]
S1 MpKsl60f4f19a;MpKsl60f4f19a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2646E73D-6EB2-4D97-9A8C-33FE7E111E7B}\MpKsl60f4f19a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2646E73D-6EB2-4D97-9A8C-33FE7E111E7B}\MpKsl60f4f19a.sys [?]
S1 MpKsl7cf5d06f;MpKsl7cf5d06f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{8180005C-76E8-4986-A1E7-63E877557698}\MpKsl7cf5d06f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{8180005C-76E8-4986-A1E7-63E877557698}\MpKsl7cf5d06f.sys [?]
S1 MpKsl7fefea34;MpKsl7fefea34;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl7fefea34.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl7fefea34.sys [?]
S1 MpKsl8269d3f0;MpKsl8269d3f0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{09D30D26-D4E6-4893-9F17-495F8BA382F9}\MpKsl8269d3f0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{09D30D26-D4E6-4893-9F17-495F8BA382F9}\MpKsl8269d3f0.sys [?]
S1 MpKsl86a1eca0;MpKsl86a1eca0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A66D946-0C50-4ABE-90A7-52718815BEE7}\MpKsl86a1eca0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A66D946-0C50-4ABE-90A7-52718815BEE7}\MpKsl86a1eca0.sys [?]
S1 MpKsl90fe5992;MpKsl90fe5992;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0EA3B8E9-CC4B-4224-8C51-2392AD61A5F2}\MpKsl90fe5992.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0EA3B8E9-CC4B-4224-8C51-2392AD61A5F2}\MpKsl90fe5992.sys [?]
S1 MpKsl92a17498;MpKsl92a17498;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl92a17498.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl92a17498.sys [?]
S1 MpKsl947a449e;MpKsl947a449e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{5463DCF1-0A0E-4569-AA88-B8C349CCDD47}\MpKsl947a449e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{5463DCF1-0A0E-4569-AA88-B8C349CCDD47}\MpKsl947a449e.sys [?]
S1 MpKslaaa81d8e;MpKslaaa81d8e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslaaa81d8e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslaaa81d8e.sys [?]
S1 MpKslab444648;MpKslab444648;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{25F6DBCC-A4FA-4933-8FE3-FD31CDDC2B0F}\MpKslab444648.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{25F6DBCC-A4FA-4933-8FE3-FD31CDDC2B0F}\MpKslab444648.sys [?]
S1 MpKslb3c1aadc;MpKslb3c1aadc;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKslb3c1aadc.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKslb3c1aadc.sys [?]
S1 MpKslb4c09f2b;MpKslb4c09f2b;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslb4c09f2b.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslb4c09f2b.sys [?]
S1 MpKslbf39ee9a;MpKslbf39ee9a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D68078C6-E7DD-449C-84F4-A250D80AC603}\MpKslbf39ee9a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D68078C6-E7DD-449C-84F4-A250D80AC603}\MpKslbf39ee9a.sys [?]
S1 MpKslc64bed95;MpKslc64bed95;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslc64bed95.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslc64bed95.sys [?]
S1 MpKslcf242c84;MpKslcf242c84;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED6DC2F9-55B5-4778-B53D-30CCF7F0A826}\MpKslcf242c84.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED6DC2F9-55B5-4778-B53D-30CCF7F0A826}\MpKslcf242c84.sys [?]
S1 MpKsld6155ef5;MpKsld6155ef5;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsld6155ef5.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsld6155ef5.sys [?]
S1 MpKslda11c8ac;MpKslda11c8ac;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9C614F27-A157-422F-9A2F-B7162A10D962}\MpKslda11c8ac.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9C614F27-A157-422F-9A2F-B7162A10D962}\MpKslda11c8ac.sys [?]
S1 MpKslde5688d8;MpKslde5688d8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB7B8A7F-7664-4754-B199-4EFA5F12CFA4}\MpKslde5688d8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB7B8A7F-7664-4754-B199-4EFA5F12CFA4}\MpKslde5688d8.sys [?]
S1 MpKsle280830f;MpKsle280830f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2189314C-BBDC-4732-840A-1828F50B1349}\MpKsle280830f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2189314C-BBDC-4732-840A-1828F50B1349}\MpKsle280830f.sys [?]
S1 MpKsle45b9a3e;MpKsle45b9a3e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1B49F4B3-7C57-4BA6-9781-62F94786F305}\MpKsle45b9a3e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1B49F4B3-7C57-4BA6-9781-62F94786F305}\MpKsle45b9a3e.sys [?]
S1 MpKsle5dea56e;MpKsle5dea56e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{EEF0226F-CFF8-4450-A6C7-74F643B91B25}\MpKsle5dea56e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{EEF0226F-CFF8-4450-A6C7-74F643B91B25}\MpKsle5dea56e.sys [?]
S1 MpKsle6b72ea9;MpKsle6b72ea9;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsle6b72ea9.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsle6b72ea9.sys [?]
S1 MpKslea771824;MpKslea771824;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C14243B8-31D9-4D68-BB29-E4D8FB02CC36}\MpKslea771824.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C14243B8-31D9-4D68-BB29-E4D8FB02CC36}\MpKslea771824.sys [?]
S1 MpKslf9ea6a40;MpKslf9ea6a40;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslf9ea6a40.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslf9ea6a40.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [17.08.2005 23:00 7168]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 10:10 3276800]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys --> c:\windows\system32\DRIVERS\ewusbdev.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 12:37 517096]
S3 TelekomNM3;Telekom Netzmanager Packet Filter Driver;c:\programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys [16.09.2010 16:02 35040]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [12.10.2011 12:07 146368]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.09.2011 21:55 717296]
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-08 c:\windows\Tasks\AdobeAAMUpdater-1.0-SCOON-Admin.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-04-28 01:44]
.
2011-12-08 c:\windows\Tasks\AdobeAAMUpdater-1.0-SCOON-Glaums.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-04-28 01:44]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\56cqv9nw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-AutocompletePro2_is1 - c:\programme\AutocompletePro\unins000.exe
AddRemove-2kv4.8.442 - c:\windows\Radeon Omega Drivers v4.8.442
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-11 01:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3752)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-11  01:12:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-12-11 00:12
.
Vor Suchlauf: 8 Verzeichnis(se), 190.453.927.936 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 190.712.078.336 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 9B85C2A2717D406F6F03AA2C906DCB38
         
--- --- ---


Alt 11.12.2011, 00:56   #6
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool und klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt, i dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
--> Sirefef.P und Bundestrojaner

Alt 11.12.2011, 12:19   #7
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Farbar Service Scanner
Ran by Admin (administrator) on 11-12-2011 at 13:15:03
Microsoft Windows XP Professional Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

afd Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to retrieve start type of afd. The value does not exist.
Checking ImagePath: Attention! Unable to retrieve ImagePath of afd. The value does not exist.


File Check:
===========
C:\WINDOWS\system32\svchost.exe
[2008-04-14 08:00] - [2008-04-14 08:00] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 08:00] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2008-04-14 08:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC

C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

Attention! C:\WINDOWS\system32\Drivers\afd.sys is missing.
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-14 08:00] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07


Connection Status:
==================
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error: Google IP is unreachable
Attempt to access Yahoo IP returend error: Yahoo IP is unreachable

**** End of log ****

Alt 11.12.2011, 13:25   #8
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Downloade dir bitte die angehängte Look.txt

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    ATTFilter
    Inhalt der Look.txt
             
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 11.12.2011, 21:31   #9
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



SystemLook 30.07.11 by jpshortstuff
Log created at 22:08 on 11/12/2011 by Admin
Administrator - Elevation successful

No Context: Inhalt der Look.txt

-= EOF =-

Alt 11.12.2011, 22:07   #10
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Du sollst nicht das was da steht rein kopieren, sondern den Inhalt der angehängten look.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 12.12.2011, 09:53   #11
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Kam mir schon merkwürdig vor, aber die Formulierung war nicht ganz eindeutig. Hier jetzt der hoffentlich richtige Text.

SystemLook 30.07.11 by jpshortstuff
Log created at 10:21 on 12/12/2011 by Admin
Administrator - Elevation successful

========== filefind ==========

Searching for "afd.sys"
C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys --a---- 138496 bytes [08:09 16/06/2011] [13:25 16/02/2011] 8D499B1276012EB907E7A9E0F4D8FDA4
C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys --a---- 138496 bytes [15:07 16/10/2008] [15:07 16/10/2008] 38D7B715504DA4741DF35E3594FE2099
C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys --a---- 138496 bytes [08:12 13/10/2011] [13:41 17/08/2011] F6B7B1ECD7B41736BDB6FF4B092BCB79
C:\WINDOWS\$NtUninstallKB2503665$\afd.sys -----c- 138496 bytes [08:37 16/06/2011] [14:43 16/10/2008] 7618D5218F2A614672EC61A80D854A37
C:\WINDOWS\$NtUninstallKB2509553$\afd.sys -----c- 138112 bytes [20:52 25/04/2011] [07:00 14/04/2008] 322D0E36693D6E24A2398BEE62A268CD
C:\WINDOWS\$NtUninstallKB2592799$\afd.sys -----c- 138496 bytes [08:23 13/10/2011] [13:22 16/02/2011] 355556D9E580915118CD7EF736653A89
C:\WINDOWS\system32\dllcache\afd.sys --a--c- 138496 bytes [07:00 14/04/2008] [13:49 17/08/2011] 1E44BC1E83D8FD2305F8D452DB109CF9

Searching for "rpcss.dll"
C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll --a---- 401408 bytes [20:36 25/04/2011] [10:54 09/02/2009] D3D765E8455A961AE567B408F767D4F9
C:\WINDOWS\$NtUninstallKB956572$\rpcss.dll -----c- 399360 bytes [20:58 25/04/2011] [07:00 14/04/2008] E970C2296916BF4A2F958680016FE312
C:\WINDOWS\ERDNT\cache\rpcss.dll --a---- 401408 bytes [00:11 11/12/2011] [10:51 09/02/2009] 3127AFBF2C1ED0AB14A1BBB7AAECB85B
C:\WINDOWS\system32\rpcss.dll --a---- 401408 bytes [07:00 14/04/2008] [10:51 09/02/2009] 3127AFBF2C1ED0AB14A1BBB7AAECB85B
C:\WINDOWS\system32\dllcache\rpcss.dll --a--c- 401408 bytes [07:00 14/04/2008] [10:51 09/02/2009] 3127AFBF2C1ED0AB14A1BBB7AAECB85B

Searching for "dhcpcsvc.dll"
C:\WINDOWS\system32\dhcpcsvc.dll --a---- 127488 bytes [07:00 14/04/2008] [07:00 14/04/2008] C29A1C9B75BA38FA37F8C44405DEC360
C:\WINDOWS\system32\dllcache\dhcpcsvc.dll --a--c- 127488 bytes [07:00 14/04/2008] [07:00 14/04/2008] C29A1C9B75BA38FA37F8C44405DEC360

Searching for "dnsrslvr.dll"
C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\dnsrslvr.dll --a---- 45568 bytes [17:07 20/04/2009] [17:07 20/04/2009] 4548494812BA3B416D489E0C6AF8D643
C:\WINDOWS\$NtUninstallKB2509553$\dnsrslvr.dll -----c- 45568 bytes [20:52 25/04/2011] [07:00 14/04/2008] 8C9ED3B2834AAE63081AB2DA831C6FE9
C:\WINDOWS\system32\dnsrslvr.dll --a---- 45568 bytes [07:00 14/04/2008] [17:17 20/04/2009] 407F3227AC618FD1CA54B335B083DE07
C:\WINDOWS\system32\dllcache\dnsrslvr.dll --a--c- 45568 bytes [07:00 14/04/2008] [17:17 20/04/2009] 407F3227AC618FD1CA54B335B083DE07

========== reg ==========

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\afd]
(No values found)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\afd\Parameters]
(No values found)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\afd\Enum]
"0"="Root\LEGACY_AFD\0000"
"Count"= 0x0000000001 (1)
"NextInstance"= 0x0000000001 (1)
"INITSTARTFAILED"= 0x0000000001 (1)


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_AFD]
"NextInstance"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_AFD\0000]
"Service"="AFD"
"Legacy"= 0x0000000001 (1)
"ConfigFlags"= 0x0000000020 (32)
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="AFD"
"Capabilities"= 0x0000000000 (0)
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_AFD\0000\LogConf]
(No values found)


-= EOF =-

Alt 12.12.2011, 13:07   #12
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Download dir bitte folgende Datei

http://larusso.trojaner-board.de/regfixes/afdXP.zip

Extrahiere den Inhalt auf den Desktop. Doppelklick auf die afdXP.reg Datei, bestätige die Warnung mit ja.



Und nochmal extra für dich.
Downloade dir die angehängte CFScript.exe. Speichere diese auf den infizierten Rechner auf deinem Desktop.



Wichtig:
  • Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.


  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Bitte poste in deiner nächsten Antwort
Combofix.txt
Berichte ob du wieder ins Internet kannst.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 12.12.2011, 14:34   #13
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Hallo,

die Internetverbindung funktioniert leider noch immer nicht. Das Verbindungsprogramm startet, findet das WLAN und bleibt dann ewig auf der Position: "Bitte warten Sie! Die WLAN Verschlüsselung wird geprüft." Dabei zeigt Windows ein bestehendes WLAN an. Auch funktioniert der Stick mit den selben Zugangsdaten im selben Netzwerk an einem anderen Rechner.

Hier die Ergebnisse des Scans.

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-12-10.01 - Admin 12.12.2011  14:54:05.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.644 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\cfscript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOTEPAD.EXE-x.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\RUNDLL32.EXE-x.txt
.
.
--------------- FCopy ---------------
.
c:\windows\system32\dllcache\afd.sys --> c:\windows\System32\drivers\afd.sys
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-12 bis 2011-12-12  ))))))))))))))))))))))))))))))
.
.
2011-12-12 13:54 . 2011-08-17 13:49	138496	-c--a-w-	c:\windows\system32\dllcache\afd.sys
2011-12-12 13:54 . 2011-08-17 13:49	138496	----a-w-	c:\windows\system32\drivers\afd.sys
2011-12-12 11:05 . 2011-12-12 11:05	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{46429A71-C47B-42AE-87AD-A9352A988057}\MpKsl079a6da8.sys
2011-12-12 10:15 . 2011-12-12 10:15	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{46429A71-C47B-42AE-87AD-A9352A988057}\MpKsl48c58315.sys
2011-12-12 10:15 . 2011-12-12 11:05	56200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{46429A71-C47B-42AE-87AD-A9352A988057}\offreg.dll
2011-12-11 21:23 . 2011-12-11 21:23	--------	d-sh--w-	c:\dokumente und einstellungen\Admin\PrivacIE
2011-12-11 00:12 . 2011-11-21 10:47	6823496	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{46429A71-C47B-42AE-87AD-A9352A988057}\mpengine.dll
2011-12-10 21:12 . 2005-12-29 17:07	282624	----a-r-	c:\windows\system32\drivers\WG311v3XP.sys
2011-12-10 21:12 . 2011-12-10 21:12	--------	d-----w-	c:\windows\Downloaded Installations
2011-12-10 21:07 . 2011-12-10 23:40	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\U3
2011-12-10 15:24 . 2011-12-10 15:24	--------	d-----w-	c:\programme\DT
2011-12-09 20:10 . 2011-12-09 20:10	--------	d---a-w-	C:\.Trash-999
2011-12-05 14:50 . 2011-12-07 21:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-12-03 12:03 . 2011-12-06 15:03	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2011-12-03 10:15 . 2009-08-06 18:24	15584	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2011-12-02 19:04 . 2011-12-02 20:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Netzmanager
2011-12-02 19:04 . 2011-12-02 19:05	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D8116CA6-DBDF-4415-AB4A-BE0CEFB71935}
2011-12-02 16:35 . 2011-12-02 16:35	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-12-02 15:42 . 2011-12-03 11:56	--------	d-----w-	c:\programme\2C2B7
2011-11-21 21:17 . 2011-11-23 17:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2011-11-21 12:06 . 2011-11-23 20:29	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-21 10:47 . 2011-04-30 00:51	6823496	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-11-12 15:53 . 2011-06-14 07:17	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-02 10:18 . 2011-11-02 13:19	16215808	----a-w-	c:\programme\Dropbox 1.1.45.exe
2011-10-10 14:22 . 2011-04-25 07:33	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-09-28 07:06 . 2008-04-14 07:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2008-07-29 18:59	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2008-04-14 07:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2008-04-14 07:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-16 20:55 . 2011-09-16 20:55	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2011-09-16 18:30 . 2011-09-16 18:30	472576	----a-w-	c:\windows\Radeon Omega Drivers v4.8.442 Uninstall.exe
2011-11-10 13:29 . 2011-04-25 20:41	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BrStsWnd"="c:\programme\Brownie\BrstsWnd.exe" [2009-06-11 3618104]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"AdobeCS5ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-07-22 402432]
"SwitchBoard"="c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"AtiPTA"="atiptaxx.exe" [2006-02-22 344064]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"V0470Mon.exe"="c:\windows\V0470Mon.exe" [2007-04-11 32768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Speedport W 102 WLAN Manager.lnk - c:\programme\DT\Speedport W 102 Stick\UI.exe [2008-11-9 741376]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\MirandaFusion\\fusiontools\\updater.exe"=
"c:\\Programme\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Dokumente und Einstellungen\\Glaums\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 MpKsl079a6da8;MpKsl079a6da8;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{46429A71-C47B-42AE-87AD-A9352A988057}\MpKsl079a6da8.sys [12.12.2011 12:05 29904]
R1 MpKsl48c58315;MpKsl48c58315;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{46429A71-C47B-42AE-87AD-A9352A988057}\MpKsl48c58315.sys [12.12.2011 11:15 29904]
R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [29.08.2011 01:20 120320]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 19:31 277544]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 16:09 1250408]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [11.12.2011 01:04 9728]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [11.02.2011 22:23 35088]
S0 cerc6;cerc6; [x]
S1 MpKsl01631821;MpKsl01631821;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7A986D8E-B586-4520-B5B1-5524D7115C58}\MpKsl01631821.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7A986D8E-B586-4520-B5B1-5524D7115C58}\MpKsl01631821.sys [?]
S1 MpKsl028690b0;MpKsl028690b0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BDD1FAB5-DEB5-4A2F-88E1-060AB9B19124}\MpKsl028690b0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BDD1FAB5-DEB5-4A2F-88E1-060AB9B19124}\MpKsl028690b0.sys [?]
S1 MpKsl15779073;MpKsl15779073;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl15779073.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl15779073.sys [?]
S1 MpKsl1dfc60ca;MpKsl1dfc60ca;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{06966FBF-45EB-4A39-9704-96FE61874B7C}\MpKsl1dfc60ca.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{06966FBF-45EB-4A39-9704-96FE61874B7C}\MpKsl1dfc60ca.sys [?]
S1 MpKsl2dfee9d0;MpKsl2dfee9d0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4EC31F19-8401-4071-A35D-3B4E08CADABC}\MpKsl2dfee9d0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4EC31F19-8401-4071-A35D-3B4E08CADABC}\MpKsl2dfee9d0.sys [?]
S1 MpKsl301681f8;MpKsl301681f8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6E03A729-ABDB-437C-8B4A-DE05204EE8A2}\MpKsl301681f8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6E03A729-ABDB-437C-8B4A-DE05204EE8A2}\MpKsl301681f8.sys [?]
S1 MpKsl3867c32e;MpKsl3867c32e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{170C0B33-8BFC-458C-9247-68CB52CC1423}\MpKsl3867c32e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{170C0B33-8BFC-458C-9247-68CB52CC1423}\MpKsl3867c32e.sys [?]
S1 MpKsl3d050dc2;MpKsl3d050dc2;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsl3d050dc2.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsl3d050dc2.sys [?]
S1 MpKsl3d6ae723;MpKsl3d6ae723;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{34279D90-0140-4146-99F9-5C1F9D8CDB3D}\MpKsl3d6ae723.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{34279D90-0140-4146-99F9-5C1F9D8CDB3D}\MpKsl3d6ae723.sys [?]
S1 MpKsl3f3636de;MpKsl3f3636de;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl3f3636de.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsl3f3636de.sys [?]
S1 MpKsl44c3afc9;MpKsl44c3afc9;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl44c3afc9.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl44c3afc9.sys [?]
S1 MpKsl50a5bbd0;MpKsl50a5bbd0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl50a5bbd0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53ED8CF0-776A-4261-B056-78CF94C5F327}\MpKsl50a5bbd0.sys [?]
S1 MpKsl51379d5b;MpKsl51379d5b;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A4EDA19-93D5-47BE-A98E-241A1ABEC96A}\MpKsl51379d5b.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A4EDA19-93D5-47BE-A98E-241A1ABEC96A}\MpKsl51379d5b.sys [?]
S1 MpKsl60f4f19a;MpKsl60f4f19a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2646E73D-6EB2-4D97-9A8C-33FE7E111E7B}\MpKsl60f4f19a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2646E73D-6EB2-4D97-9A8C-33FE7E111E7B}\MpKsl60f4f19a.sys [?]
S1 MpKsl7cf5d06f;MpKsl7cf5d06f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{8180005C-76E8-4986-A1E7-63E877557698}\MpKsl7cf5d06f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{8180005C-76E8-4986-A1E7-63E877557698}\MpKsl7cf5d06f.sys [?]
S1 MpKsl7fefea34;MpKsl7fefea34;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl7fefea34.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl7fefea34.sys [?]
S1 MpKsl8269d3f0;MpKsl8269d3f0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{09D30D26-D4E6-4893-9F17-495F8BA382F9}\MpKsl8269d3f0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{09D30D26-D4E6-4893-9F17-495F8BA382F9}\MpKsl8269d3f0.sys [?]
S1 MpKsl86a1eca0;MpKsl86a1eca0;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A66D946-0C50-4ABE-90A7-52718815BEE7}\MpKsl86a1eca0.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6A66D946-0C50-4ABE-90A7-52718815BEE7}\MpKsl86a1eca0.sys [?]
S1 MpKsl90fe5992;MpKsl90fe5992;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0EA3B8E9-CC4B-4224-8C51-2392AD61A5F2}\MpKsl90fe5992.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0EA3B8E9-CC4B-4224-8C51-2392AD61A5F2}\MpKsl90fe5992.sys [?]
S1 MpKsl92a17498;MpKsl92a17498;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl92a17498.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{89B16A3A-F27F-4205-9D30-1E48CF7FE15B}\MpKsl92a17498.sys [?]
S1 MpKsl947a449e;MpKsl947a449e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{5463DCF1-0A0E-4569-AA88-B8C349CCDD47}\MpKsl947a449e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{5463DCF1-0A0E-4569-AA88-B8C349CCDD47}\MpKsl947a449e.sys [?]
S1 MpKslaaa81d8e;MpKslaaa81d8e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslaaa81d8e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslaaa81d8e.sys [?]
S1 MpKslab444648;MpKslab444648;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{25F6DBCC-A4FA-4933-8FE3-FD31CDDC2B0F}\MpKslab444648.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{25F6DBCC-A4FA-4933-8FE3-FD31CDDC2B0F}\MpKslab444648.sys [?]
S1 MpKslb3c1aadc;MpKslb3c1aadc;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKslb3c1aadc.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKslb3c1aadc.sys [?]
S1 MpKslb4c09f2b;MpKslb4c09f2b;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslb4c09f2b.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslb4c09f2b.sys [?]
S1 MpKslbf39ee9a;MpKslbf39ee9a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D68078C6-E7DD-449C-84F4-A250D80AC603}\MpKslbf39ee9a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D68078C6-E7DD-449C-84F4-A250D80AC603}\MpKslbf39ee9a.sys [?]
S1 MpKslc64bed95;MpKslc64bed95;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslc64bed95.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E9C4B6E2-8BB2-4EF9-91E7-8A2FCCD67C52}\MpKslc64bed95.sys [?]
S1 MpKslcf242c84;MpKslcf242c84;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED6DC2F9-55B5-4778-B53D-30CCF7F0A826}\MpKslcf242c84.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED6DC2F9-55B5-4778-B53D-30CCF7F0A826}\MpKslcf242c84.sys [?]
S1 MpKsld6155ef5;MpKsld6155ef5;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsld6155ef5.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{27D709F9-CF31-4A25-AE05-07F93CBCF579}\MpKsld6155ef5.sys [?]
S1 MpKslda11c8ac;MpKslda11c8ac;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9C614F27-A157-422F-9A2F-B7162A10D962}\MpKslda11c8ac.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9C614F27-A157-422F-9A2F-B7162A10D962}\MpKslda11c8ac.sys [?]
S1 MpKslde5688d8;MpKslde5688d8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB7B8A7F-7664-4754-B199-4EFA5F12CFA4}\MpKslde5688d8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB7B8A7F-7664-4754-B199-4EFA5F12CFA4}\MpKslde5688d8.sys [?]
S1 MpKsle280830f;MpKsle280830f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2189314C-BBDC-4732-840A-1828F50B1349}\MpKsle280830f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2189314C-BBDC-4732-840A-1828F50B1349}\MpKsle280830f.sys [?]
S1 MpKsle45b9a3e;MpKsle45b9a3e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1B49F4B3-7C57-4BA6-9781-62F94786F305}\MpKsle45b9a3e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1B49F4B3-7C57-4BA6-9781-62F94786F305}\MpKsle45b9a3e.sys [?]
S1 MpKsle5dea56e;MpKsle5dea56e;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{EEF0226F-CFF8-4450-A6C7-74F643B91B25}\MpKsle5dea56e.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{EEF0226F-CFF8-4450-A6C7-74F643B91B25}\MpKsle5dea56e.sys [?]
S1 MpKsle6b72ea9;MpKsle6b72ea9;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsle6b72ea9.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{53C3F5F9-35FB-4F80-B844-A0D79D7F12FF}\MpKsle6b72ea9.sys [?]
S1 MpKslea771824;MpKslea771824;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C14243B8-31D9-4D68-BB29-E4D8FB02CC36}\MpKslea771824.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C14243B8-31D9-4D68-BB29-E4D8FB02CC36}\MpKslea771824.sys [?]
S1 MpKslf9ea6a40;MpKslf9ea6a40;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslf9ea6a40.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CCFD4B95-5613-4C07-A45F-65BF46A4E496}\MpKslf9ea6a40.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [17.08.2005 23:00 7168]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 10:10 3276800]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys --> c:\windows\system32\DRIVERS\ewusbdev.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 12:37 517096]
S3 TelekomNM3;Telekom Netzmanager Packet Filter Driver;c:\programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys [16.09.2010 16:02 35040]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [12.10.2011 12:07 146368]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.09.2011 21:55 717296]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MPKSL079A6DA8
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-08 c:\windows\Tasks\AdobeAAMUpdater-1.0-SCOON-Admin.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-04-28 01:44]
.
2011-12-08 c:\windows\Tasks\AdobeAAMUpdater-1.0-SCOON-Glaums.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-04-28 01:44]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\56cqv9nw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-12 15:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-12-12  15:03:42
ComboFix-quarantined-files.txt  2011-12-12 14:03
ComboFix2.txt  2011-12-11 00:12
.
Vor Suchlauf: 8 Verzeichnis(se), 190.652.432.384 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 190.710.513.664 Bytes frei
.
- - End Of File - - 570FA980BC74779E1D57A048B6D932E1
         
--- --- ---

Alt 12.12.2011, 15:06   #14
Larusso
/// Selecta Jahrusso
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Ich liebe dieses Rootkit. Stell dich schon mal auf ne längere Bearbeitung ein.

Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool und klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt, i dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 12.12.2011, 16:02   #15
Glaums
 
Sirefef.P und Bundestrojaner - Standard

Sirefef.P und Bundestrojaner



Hallo Daniel,

hier das Ergebnis des Scans:

Farbar Service Scanner
Ran by Admin (administrator) on 12-12-2011 at 16:45:05
Microsoft Windows XP Professional Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

afd Service is not running. Checking service configuration:
The start type of afd service is OK.
The ImagePath of afd service is OK.


File Check:
===========
C:\WINDOWS\system32\svchost.exe
[2008-04-14 08:00] - [2008-04-14 08:00] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 08:00] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2008-04-14 08:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC

C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-14 08:00] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07


Connection Status:
==================
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error: Google IP is unreachable
Attempt to access Yahoo IP returend error: Yahoo IP is unreachable

**** End of log ****

Zitat:
Zitat von Larusso Beitrag anzeigen
Ich liebe dieses Rootkit. Stell dich schon mal auf ne längere Bearbeitung ein.
Das hört sich gar nicht gut an. Ich brauche diesen Rechner dringend zum Arbeiten und habe leider auch keine wirkliche Alternative dazu. Daher die Frage an Dich: Ist eine Neuinstallation nicht schneller/besser? In diesem Fall müsste ich immer noch die Frage klären, wie ich die externen Platten desinfizieren und wie ich mich in Zukunft besser schützen kann (MSE und Firewall haben nichts genützt).

Johannes

Antwort

Themen zu Sirefef.P und Bundestrojaner
0x00000001, alternate, backdoor, betriebs, bho, boot-cd, bundes, c:\windows\system32\rundll32.exe, converter, dds.scr, desktop, einstellungen, firefox, fontcache, frage, google, helper, home, internet, logfile, malware protection center, microsoft security, microsoft security essentials, mp3, plug-in, problem, registry, required, rundll, security, security update, sekunden, sicherstellen, software, spamware, stick, trojan:win64/sirefef.e, trojaner, trojaner board, updates, win32k.sys, wlan



Ähnliche Themen: Sirefef.P und Bundestrojaner


  1. Trojaner TR/Sirefef.BC.57, TR/Sirefef.AG.9, TR/ATRAPS.Gen2, TR/Necurs.A.71 und SpyHunter 4 auf Rechner
    Log-Analyse und Auswertung - 07.05.2013 (7)
  2. Trojaner Sirefef.AG.9 u. Sirefef.AL.50 in C:\$Recycle.Bin\, Vista-Sicherheitscenter u. Firewall nach anschl. VistaUpdate nicht mehr startbar
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (41)
  3. Sirefef-A und Sirefef.mc Virenfund - eigenständiges Öffnen von Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (9)
  4. Windows Vista - Infektion mit Sirefef, Sirefef.AB
    Log-Analyse und Auswertung - 21.10.2012 (32)
  5. Sirefef.a Sirefef.AH und andere per Netzwerk entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (3)
  6. Trojaner eingefangen - Sirefef-A/Sirefef-AHF/BitCoinMiner-U/Malware-gen
    Log-Analyse und Auswertung - 31.08.2012 (27)
  7. Win64/Sirefef.w - Sirefef.ab und Sirefef.M eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (29)
  8. Virus/Trojaner: Win64/sirefef.A ; Win64/sirefef.AB ; Win64/sirefef.W ; Auto-Neustart nach 1 Minute
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  9. win 32:Sirefef-AO und Malware.gen, win64:Sirefef-A gefunden von avast!
    Log-Analyse und Auswertung - 11.08.2012 (1)
  10. sirefef.ah und sirefef.r auf Win7 (32bit) gefunden. Rechner fährt automatisch runter.
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (37)
  11. Virusbefall (Trojan.Generic, Trojan.Sirefef, Win64.Sirefef, Win32.Atraps) bei windows installer & Co
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (19)
  12. Trojana:Win32/Sirefef.R und Sirefef.AH kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (13)
  13. Trojaner: Sirefef.X / Sirefef.E / Conedex.A und Exploit: JS/Blacole.FF
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (37)
  14. Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen
    Log-Analyse und Auswertung - 10.06.2012 (14)
  15. Trojan:Win64/Sirefef.K + .../Sirefef.D + .../Sirefef.E
    Log-Analyse und Auswertung - 13.01.2012 (15)
  16. Trojan:Win64/Sirefef.K, Sirefef.E und Sirefef.D kommen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (1)
  17. Trojan:Win64/Sirefef.K & Sirefef.D & Sirefef.E
    Log-Analyse und Auswertung - 02.01.2012 (6)

Zum Thema Sirefef.P und Bundestrojaner - Hallo Trojaner, ich habe folgendes Problem: Nachdem mir Microsoft Security Essentials (MSE) über eine Woche lang Virenwarnungen angegeben hat und nicht in der Lage war diese zu beseitigen, führte ich - Sirefef.P und Bundestrojaner...
Archiv
Du betrachtest: Sirefef.P und Bundestrojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.