Trojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 von Avira gefunden

cosinus · 13.06.2012, 15:34

Zitat:

[2012.05.22 19:16:21 | 000,000,174 | ---- | M] () -- C:\password.klc

Das ist der Grund weshalb ich frage
Diese password.klc stand lt. Googlesuche evtl im Zusammen mit diesem Embird. Und deswegen fragte ich nach Quelle. Wie man sieht ist der Datumsstempel 2012.05.22 19:16:21 also der 22. Mai 2012

Masatow · 13.06.2012, 17:40

Ja stimmt, immer wenn ich längere Zeit nicht mit dem Programm gearbeitet habe erinnert er mich an die Passwortsicherung ( standart alle 30 Tage),habe ein Muster bearbeitet und dann wie immer auf ok getippt bei der Sicherung.

Das ist schon so automatisiert das ich da schon gar nicht mehr drüber nachdenke

Lg
Nicole

cosinus · 13.06.2012, 20:50

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
FF - user.js - File not found
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O2 - BHO: (WEB.DE Konfiguration) - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Digital Trends Club) - {4BEEA052-726D-4A6E-B65D-A6BD07C263F3} - C:\Programme\Digital Trends Club\Gacela2.dll (Payback)
O2 - BHO: (WEB.DE Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (&RoboForm Toolbar) - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O3 - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-57989841-1482476501-682003330-1003\..\Toolbar\WebBrowser: (&RoboForm Toolbar) - {724D43A0-0D85-11D4-9908-00400523E39A} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O3 - HKU\S-1-5-21-57989841-1482476501-682003330-1003\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-57989841-1482476501-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.26 16:36:08 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{5066a7a3-906f-11e1-af47-0010dcda616c}\Shell - "" = AutoRun
O33 - MountPoints2\{5066a7a3-906f-11e1-af47-0010dcda616c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5066a7a3-906f-11e1-af47-0010dcda616c}\Shell\AutoRun\command - "" = F:\HTC_Sync_Manager_PC.exe
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Masatow · 14.06.2012, 10:00

So das nächste Log von OTL:

Code:

ATTFilter

 All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17166733-40EA-4432-A85C-AE672FF0E236}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17166733-40EA-4432-A85C-AE672FF0E236}\ deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1und1InternetExplorerAddon\BHOXML.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
File move failed. C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll scheduled to be moved on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4BEEA052-726D-4A6E-B65D-A6BD07C263F3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4BEEA052-726D-4A6E-B65D-A6BD07C263F3}\ deleted successfully.
C:\Programme\Digital Trends Club\Gacela2.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF42D4A8-016E-4fcd-B1EB-837659FD77C6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF42D4A8-016E-4fcd-B1EB-837659FD77C6}\ deleted successfully.
C:\Programme\WEB.DE Toolbar\IE\uitb.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ deleted successfully.
C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{724d43a0-0d85-11d4-9908-00400523e39a} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{724d43a0-0d85-11d4-9908-00400523e39a}\ deleted successfully.
C:\Programme\Siber Systems\AI RoboForm\roboform.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{C424171E-592A-415a-9EB1-DFD6D95D3530} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415a-9EB1-DFD6D95D3530}\ deleted successfully.
File C:\Programme\WEB.DE Toolbar\IE\uitb.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
File C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll not found.
Registry value HKEY_USERS\S-1-5-21-57989841-1482476501-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{724D43A0-0D85-11D4-9908-00400523E39A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{724D43A0-0D85-11D4-9908-00400523E39A}\ not found.
File C:\Programme\Siber Systems\AI RoboForm\roboform.dll not found.
Registry value HKEY_USERS\S-1-5-21-57989841-1482476501-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C424171E-592A-415A-9EB1-DFD6D95D3530} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415A-9EB1-DFD6D95D3530}\ not found.
File C:\Programme\WEB.DE Toolbar\IE\uitb.dll not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\CDRAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\CDRAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-57989841-1482476501-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5066a7a3-906f-11e1-af47-0010dcda616c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5066a7a3-906f-11e1-af47-0010dcda616c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5066a7a3-906f-11e1-af47-0010dcda616c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5066a7a3-906f-11e1-af47-0010dcda616c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5066a7a3-906f-11e1-af47-0010dcda616c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5066a7a3-906f-11e1-af47-0010dcda616c}\ not found.
File F:\HTC_Sync_Manager_PC.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56466 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 38248 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 47944658 bytes
 
User: Nicole
->Temp folder emptied: 126603144 bytes
->Temporary Internet Files folder emptied: 77731236 bytes
->Java cache emptied: 18716427 bytes
->Flash cache emptied: 177307 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1165993 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 279491 bytes
RecycleBin emptied: 159245 bytes
 
Total Files Cleaned = 260,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
 
User: Nicole
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.46.0 log created on 06142012_104649

Files\Folders moved on Reboot...
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll moved successfully.
File\Folder C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\9XZTCI9O\7YWnY96yoa79KffwaUTQer7tZljOf8ynnVvadSeOMQWswzCS_i0YsUEcQpoEJrm5UQPMpRhDpgV8RtKAzZ32BB0yb3ZBtj8lq8Csz2K5vy9Oz_3IMUFjeZLZSod9tBCi2ZYqSX7Yhc6PaBqugLH6YyMVcedC9lKP[1].jpg not found!

Registry entries deleted on Reboot...

Pc wurde neu gestartet dann kam aber ein paar Mal ne Windows Warnung "PC wurde nach einem schwerwiegendem Fehler...."

nach 3-4 Mal auf "nicht senden" gibt er wohl jetzt erst mal Ruhe

Lg
Nicole

cosinus · 14.06.2012, 13:11

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Masatow · 15.06.2012, 07:42

Hier hier die combofix.txt

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-06-14.05 - Nicole 15.06.2012   7:43.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Nicole\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Nicole\4.0
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\desktop.ini
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Toolbar4
c:\dokumente und einstellungen\Nicole\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\muzapp.exe
c:\windows\system32\SET104.tmp
c:\windows\system32\SET105.tmp
c:\windows\system32\SET106.tmp
c:\windows\system32\SET10A.tmp
c:\windows\system32\SET10B.tmp
c:\windows\system32\SET10C.tmp
c:\windows\system32\SET110.tmp
c:\windows\system32\SET112.tmp
.
Infizierte Kopie von c:\windows\system32\drivers\ntfs.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\ntfs.sys wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-15 bis 2012-06-15  ))))))))))))))))))))))))))))))
.
.
2012-06-15 05:20 . 2012-06-15 05:20	--------	d-----w-	c:\windows\LastGood.Tmp
2012-06-14 15:37 . 2012-06-14 15:37	--------	d-----w-	C:\a3b03e6212773ad7645be4e0
2012-06-14 08:46 . 2012-06-14 08:46	--------	d-----w-	C:\_OTL
2012-06-14 08:46 . 2012-05-11 14:40	521728	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
2012-06-11 09:47 . 2012-06-11 09:47	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\PhotoGenie
2012-06-08 05:53 . 2012-06-08 05:53	--------	d-----w-	c:\programme\ESET
2012-06-07 09:51 . 2012-06-07 09:51	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Malwarebytes
2012-06-07 09:51 . 2012-06-07 09:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-06-07 09:51 . 2012-06-07 09:51	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-06-07 09:51 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-25 14:38 . 2012-05-25 14:38	--------	d-----w-	c:\programme\VideoLAN
2012-05-25 14:37 . 2012-05-25 14:37	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-05-25 14:36 . 2012-05-25 14:36	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Oracle
2012-05-25 14:36 . 2012-04-04 16:47	772504	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-05-24 16:48 . 2012-05-24 16:48	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-05-24 16:47 . 2012-05-24 16:47	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-12 11:53 . 2012-04-11 10:45	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-12 11:53 . 2011-05-20 05:28	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-31 13:22 . 2003-04-02 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-25 14:35 . 2010-11-02 09:17	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-05-15 13:56 . 2003-04-02 12:00	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2003-04-02 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2003-04-02 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2010-10-26 15:25	385024	------w-	c:\windows\system32\html.iec
2012-05-08 12:39 . 2011-10-17 06:23	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-08 12:39 . 2011-10-17 06:23	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-02 13:46 . 2010-10-26 14:31	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-04-11 13:51 . 2002-08-29 03:41	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2003-04-02 12:00	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-04-04 16:47 . 2010-11-02 09:17	687504	----a-w-	c:\windows\system32\deployJava1.dll
2012-03-28 20:11 . 2012-04-13 08:06	4659712	----a-w-	c:\windows\system32\Redemption.dll
2012-03-28 20:11 . 2012-03-28 20:11	90112	----a-w-	c:\windows\MAMCityDownload.ocx
2012-03-28 20:11 . 2012-03-28 20:11	325552	----a-w-	c:\windows\MASetupCaller.dll
2012-03-28 20:11 . 2012-03-28 20:11	30568	----a-w-	c:\windows\MusiccityDownload.exe
2012-03-28 20:11 . 2012-03-28 20:11	974848	----a-w-	c:\windows\system32\cis-2.4.dll
2012-03-28 20:11 . 2012-03-28 20:11	81920	----a-w-	c:\windows\system32\issacapi_bs-2.3.dll
2012-03-28 20:11 . 2012-03-28 20:11	65536	----a-w-	c:\windows\system32\issacapi_pe-2.3.dll
2012-03-28 20:11 . 2012-03-28 20:11	57344	----a-w-	c:\windows\system32\MTXSYNCICON.dll
2012-03-28 20:11 . 2012-03-28 20:11	57344	----a-w-	c:\windows\system32\MK_Lyric.dll
2012-03-28 20:11 . 2012-03-28 20:11	57344	----a-w-	c:\windows\system32\issacapi_se-2.3.dll
2012-03-28 20:11 . 2012-03-28 20:11	569344	----a-w-	c:\windows\system32\muzdecode.ax
2012-03-28 20:11 . 2012-03-28 20:11	491520	----a-w-	c:\windows\system32\muzapp.dll
2012-03-28 20:11 . 2012-03-28 20:11	49152	----a-w-	c:\windows\system32\MaJGUILib.dll
2012-03-28 20:11 . 2012-03-28 20:11	45320	----a-w-	c:\windows\system32\MAMACExtract.dll
2012-03-28 20:11 . 2012-03-28 20:11	45056	----a-w-	c:\windows\system32\MaXMLProto.dll
2012-03-28 20:11 . 2012-03-28 20:11	45056	----a-w-	c:\windows\system32\MACXMLProto.dll
2012-03-28 20:11 . 2012-03-28 20:11	40960	----a-w-	c:\windows\system32\MTTELECHIP.dll
2012-03-28 20:11 . 2012-03-28 20:11	352256	----a-w-	c:\windows\system32\MSLUR71.dll
2012-03-28 20:11 . 2012-03-28 20:11	258048	----a-w-	c:\windows\system32\muzoggsp.ax
2012-03-28 20:11 . 2012-03-28 20:11	245760	----a-w-	c:\windows\system32\MSCLib.dll
2012-03-28 20:11 . 2012-03-28 20:11	24576	----a-w-	c:\windows\system32\MASetupCleaner.exe
2012-03-28 20:11 . 2012-03-28 20:11	200704	----a-w-	c:\windows\system32\muzwmts.dll
2012-03-28 20:11 . 2012-03-28 20:11	155648	----a-w-	c:\windows\system32\MSFLib.dll
2012-03-28 20:11 . 2012-03-28 20:11	143360	----a-w-	c:\windows\system32\3DAudio.ax
2012-03-28 20:11 . 2012-03-28 20:11	14336	----a-w-	c:\windows\system32\avrt.dll
2012-03-28 20:11 . 2012-03-28 20:11	135168	----a-w-	c:\windows\system32\muzaf1.dll
2012-03-28 20:11 . 2012-03-28 20:11	131072	----a-w-	c:\windows\system32\muzmpgsp.ax
2012-03-28 20:11 . 2012-03-28 20:11	122880	----a-w-	c:\windows\system32\muzeffect.ax
2012-03-28 20:11 . 2012-03-28 20:11	118784	----a-w-	c:\windows\system32\MaDRM.dll
2012-03-28 20:11 . 2012-03-28 20:11	110592	----a-w-	c:\windows\system32\muzmp4sp.ax
2012-03-28 20:11 . 2012-04-13 08:06	821824	----a-w-	c:\windows\system32\dgderapi.dll
2012-03-28 20:11 . 2012-04-13 08:06	319456	----a-w-	c:\windows\system32\DIFxAPI.dll
2012-03-28 20:11 . 2012-04-13 08:06	20032	----a-w-	c:\windows\system32\drivers\dgderdrv.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}"= "c:\progra~1\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll" [2011-03-16 214840]
.
[HKEY_CLASSES_ROOT\clsid\{81017ea9-9aa8-4a6a-9734-7af40e7d593f}]
[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin.1]
[HKEY_CLASSES_ROOT\TypeLib\{A31F34A1-EBD2-45A2-BF6D-231C1B987CC8}]
[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe"
"Messenger (Yahoo!)"="c:\progra~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"RoboForm"="c:\programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
"KiesHelper"=c:\programme\Samsung\Kies\KiesHelper.exe /s
"KiesPDLR"=c:\programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
"1und1Dispatcher"="c:\programme\1und1Softwareaktualisierung\SchedDispatcher.exe" xp
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"SoundMan"=SOUNDMAN.EXE
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"LexwareInfoService"=c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"snp325"=c:\windows\vsnp325.exe
"FixCamera"=c:\windows\FixCamera.exe
"ArcSoft Connection Service"=c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
"KiesTrayAgent"=c:\programme\Samsung\Kies\KiesTrayAgent.exe
"HTC Sync Loader"="c:\programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"TrojanScanner"=c:\programme\Trojan Remover\Trjscan.exe /boot
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 08:23 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 08:23 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [07.06.2012 11:51 654408]
R2 PassThru Service;Internet Pass-Through Service;c:\programme\HTC\Internet Pass-Through\PassThruSvr.exe [15.09.2011 12:06 88576]
R2 Payback-Reporting-Service;Payback-Reporting-Service;c:\programme\Digital Trends Club\Payback-Reporting.exe [16.05.2011 12:06 102400]
R2 Payback-Update-Service;Payback-Update-Service;c:\programme\Digital Trends Club\Payback-Updater.exe [16.05.2011 12:05 180224]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [13.12.2011 10:32 1527104]
R2 uCamMonitor;CamMonitor;c:\programme\Hama\Hama Webcam Suite\Magic-i Visual Effects 2\uCamMonitor.exe [31.08.2011 13:26 104960]
R3 fdrawcmd;Low-level Floppy Driver;c:\windows\system32\drivers\fdrawcmd.sys [28.09.2008 05:09 27544]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [07.06.2012 11:51 22344]
R3 mgau;mgau;c:\windows\system32\drivers\mgaum.sys [26.10.2010 16:40 320384]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [12.12.2011 16:11 10064]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.10.2010 14:12 136176]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\drivers\ArcSoftKsUFilter.sys [31.08.2011 13:26 14336]
S3 busbcrw;USB Card Reader Writer driver;c:\windows\system32\drivers\busbcrw.sys [20.12.2010 08:14 16896]
S3 CGVPNCliSrvc;CyberGhost VPN Client;c:\programme\CyberGhost VPN\CGVPNCliService.exe [26.03.2012 15:44 2438696]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys [13.04.2012 10:08 80824]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [05.05.2011 15:29 13224]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [28.10.2010 14:12 136176]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [27.04.2012 15:30 24576]
S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 18:01 21248]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\drivers\snp325.sys [31.08.2011 13:24 10343168]
S3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\drivers\ssudmdm.sys [13.04.2012 10:08 181432]
S3 ssudobex;SAMSUNG Mobile USB OBEX Serial Port(DEVGURU Ver.);c:\windows\system32\drivers\ssudobex.sys [13.04.2012 10:08 181432]
S4 Sony PC Companion;Sony PC Companion;c:\programme\Sony\Sony PC Companion\PCCService.exe [05.05.2011 11:46 155320]
S4 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [22.04.2011 14:21 92592]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-28 12:12]
.
2012-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-28 12:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: RF - Formular ausfüllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: RF - Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: RF - Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: RF - RoboForm-Leiste ein/aus - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
TCP: DhcpNameServer = 192.168.178.1
Handler: webde - {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-01_Simmental - c:\programme\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\programme\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\programme\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\programme\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\programme\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\programme\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\programme\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\programme\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\programme\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\programme\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\programme\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\programme\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\programme\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\programme\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\programme\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\programme\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\programme\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\programme\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\programme\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-15 07:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3012)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
c:\programme\TuneUp Utilities 2011\OneClick.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-15  08:03:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-15 06:03
.
Vor Suchlauf: 7 Verzeichnis(se), 37.198.934.016 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 37.300.760.576 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 8B3776F427A17ECD0D77E17FBBBCD5A3

--- --- ---

lg
Nicole

cosinus · 15.06.2012, 14:55

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Masatow · 19.06.2012, 06:46

Hi hier das Log von Gmer:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-19 07:44:31
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST380022A rev.3.30
Running: GMER.exe; Driver: C:\DOKUME~1\Nicole\LOKALE~1\Temp\ugtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT   F7A7E37C                                                                              ZwClose
SSDT   F7A7E336                                                                              ZwCreateKey
SSDT   F7A7E386                                                                              ZwCreateSection
SSDT   F7A7E32C                                                                              ZwCreateThread
SSDT   F7A7E33B                                                                              ZwDeleteKey
SSDT   F7A7E345                                                                              ZwDeleteValueKey
SSDT   F7A7E377                                                                              ZwDuplicateObject
SSDT   F7A7E34A                                                                              ZwLoadKey
SSDT   F7A7E318                                                                              ZwOpenProcess
SSDT   F7A7E31D                                                                              ZwOpenThread
SSDT   F7A7E39F                                                                              ZwQueryValueKey
SSDT   F7A7E354                                                                              ZwReplaceKey
SSDT   F7A7E390                                                                              ZwRequestWaitReplyPort
SSDT   F7A7E34F                                                                              ZwRestoreKey
SSDT   F7A7E38B                                                                              ZwSetContextThread
SSDT   F7A7E395                                                                              ZwSetSecurityObject
SSDT   F7A7E340                                                                              ZwSetValueKey
SSDT   F7A7E39A                                                                              ZwSystemDebugControl
SSDT   F7A7E327                                                                              ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\internet explorer\iexplore.exe[3800] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

Lg Nicole

cosinus · 19.06.2012, 08:46

Und die anderen Logs?

Masatow · 19.06.2012, 13:28

Hi
bin dabei klappt nicht immer alles zeitlich wie ich das möchte

Hier osam :

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:24:30 on 19.06.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Oracle Corporation" - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 9\Nero BurnRights\NeroBurnRights_cpl.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Cdr4_xp" (Cdr4_xp) - "Roxio" - C:\WINDOWS\system32\drivers\Cdr4_xp.sys
"Cdralw2k" (Cdralw2k) - "Roxio" - C:\WINDOWS\system32\drivers\Cdralw2k.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Low-level Floppy Driver" (fdrawcmd) - "simonowen.com" - C:\WINDOWS\system32\drivers\fdrawcmd.sys
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINDOWS\System32\drivers\Afc.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TAP-Win32 Adapter V9" (tap0901) - "The OpenVPN Project" - C:\WINDOWS\System32\DRIVERS\tap0901.sys
"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys
"USB PC Camera (SNPSTD325)" (SNP325) - "Sonix Co. Ltd." - C:\WINDOWS\System32\DRIVERS\snp325.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{DB8853E3-33CC-447E-84AA-FC319381A97B} "Embird Column Handler Interface" - ? - C:\Programme\EMBIRD32\EMBIRDCP.DLL  (File found, but it contains no detailed information)
{C9E60ED7-FEAE-477b-B6A6-7D62103A0C6B} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
{8FAF0273-9CA8-4efc-9536-1E35E254D5CD} "webde" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{DB8853E3-33CC-447E-84AA-FC319381A97B} "Embird Column Handler Interface" - ? - C:\Programme\EMBIRD32\EMBIRDCP.DLL  (File found, but it contains no detailed information)
{A93BA692-F3DC-4E43-8F1F-019C268E61E4} "Embird Context Menu Handler Interface" - ? -   (File not found | COM-object registry key not found)
{18D7FD25-4D7C-11D6-AB9F-8FE66DD3F034} "Embird Context Menu Interface" - ? - C:\Programme\EMBIRD32\EMBIRDCH.DLL  (File found, but it contains no detailed information)
{6B44F8C0-6D93-11D5-A405-0040C72E0001} "Embird Icon Handler Interface" - ? - C:\Programme\EMBIRD32\EMBIRDIH.DLL  (File found, but it contains no detailed information)
{F47BEA27-05D3-4EA9-9761-A1542BF3281F} "Embird InfoTip Handler Interface" - ? -   (File not found | COM-object registry key not found)
{B5903FCF-1863-4B60-9ED3-7A0726F5694B} "Embird InfoTip Interface" - ? - C:\Programme\EMBIRD32\EMBIRDIT.DLL  (File found, but it contains no detailed information)
{BE0E21B1-AA13-4786-BCB3-0A97F641F23E} "Embird Property Sheet Interface" - ? - C:\Programme\EMBIRD32\EMBIRDPS.DLL  (File found, but it contains no detailed information)
{A81E778C-14EF-49B0-BC12-E7980ECC51EF} "Embird Thumbnails Handler Interface" - ? - C:\Programme\EMBIRD32\EMBIRDTH.DLL  (File found, but it contains no detailed information)
{D0B5A844-BD0B-4D7D-B4C2-90F872988288} "Embird Thumbnails Handler Interface" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 9\Nero CoverDesigner\CoverEdExtension.dll
{C9E60ED7-FEAE-477b-B6A6-7D62103A0C6B} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{1CA6BBC9-E9FA-4021-822B-075DF1837B63} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{4FBFFA8D-F390-471a-AE46-FEB93623AD63} "NeroDigitalInfoHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{846083A4-BFC6-4447-985C-6578B466A7D7} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{EDCC595A-F0EE-4d81-B554-D5D01C7AFB87} "NeroDigitalThumbnailHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{B065276E-D509-4005-A891-1805713D61E3} "SewIconz Emb Handler" - "S & S Computing" - C:\Programme\S & S Computing\SewIconz\IconExtXP\EmbIconExt.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRar\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} "YTNavAssist.YTNavAssistPlugin Class" - "Yahoo! Inc." - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.7.0_04" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\npjpi170_04.dll / hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab
{CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.7.0_04" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\npjpi170_04.dll / hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.7.0_04" - ? - ¨	É\bin\npjpi170_04.dll  (File not found) / hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{320AF880-6646-11D3-ABEE-C5DBF3571F46} "Ausfüllen" - ? -   (File not found | COM-object registry key not found)
{80A21664-E813-4F79-B965-2058C0F7A84C} "ClsidExtension" - ? - C:\Programme\Digital Trends Club\Gacela2.dll
{724d43aa-0d85-11d4-9908-00400523e39a} "Show Toolbar" - ? -   (File not found | COM-object registry key not found)
{320AF880-6646-11D3-ABEE-C5DBF3571F49} "Speichern" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Nicole\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"tsnp325" - ? - C:\WINDOWS\tsnp325.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ArcSoft Connect Daemon" (ACDaemon) - "ArcSoft Inc." - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"CamMonitor" (uCamMonitor) - "ArcSoft, Inc." - C:\Programme\Hama\Hama Webcam Suite\Magic-i Visual Effects 2\uCamMonitor.exe
"CyberGhost VPN Client" (CGVPNCliSrvc) - "mobile concepts GmbH" - C:\Programme\CyberGhost VPN\CGVPNCliService.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Internet Pass-Through Service" (PassThru Service) - ? - C:\Programme\HTC\Internet Pass-Through\PassThruSvr.exe
"Java Quick Starter" (JavaQuickStarterService) - "Oracle Corporation" - C:\Programme\Java\jre7\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Payback-Reporting-Service" (Payback-Reporting-Service) - ? - C:\Programme\Digital Trends Club\Payback-Reporting.exe
"Payback-Update-Service" (Payback-Update-Service) - ? - C:\Programme\Digital Trends Club\Payback-Updater.exe
"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Yahoo! Updater" (YahooAUService) - "Yahoo! Inc." - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

aswMBR.exe läuft

Lg Nicole

Hier das letzte Log:

Code:

ATTFilter

 

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-19 14:29:36
-----------------------------
14:29:36.593    OS Version: Windows 5.1.2600 Service Pack 3
14:29:36.593    Number of processors: 1 586 0x207
14:29:36.593    ComputerName: KRANET  UserName: Nicole
14:29:39.046    Initialize success
14:39:46.593    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
14:39:46.593    Disk 0 Vendor: ST380022A 3.30 Size: 76319MB BusType: 3
14:39:46.609    Disk 0 MBR read successfully
14:39:46.625    Disk 0 MBR scan
14:39:46.625    Disk 0 Windows XP default MBR code
14:39:46.625    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        76308 MB offset 63
14:39:46.640    Disk 0 scanning sectors +156280320
14:39:46.765    Disk 0 scanning C:\WINDOWS\system32\drivers
14:40:12.062    Service scanning
14:41:05.609    Modules scanning
14:41:29.609    Disk 0 trace - called modules:
14:41:29.640    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys 
14:41:29.656    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x896edab8]
14:41:29.656    3 CLASSPNP.SYS[f7657fd7] -> nt!IofCallDriver -> \Device\00000062[0x896f3e98]
14:41:29.671    5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x896fcd98]
14:41:29.671    Scan finished successfully
14:45:05.421    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Nicole\Desktop\MBR.dat"
14:45:05.421    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Nicole\Desktop\aswMBR.txt"

Lg Nicole

cosinus · 19.06.2012, 14:41

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Masatow · 20.06.2012, 19:59

Hier schon mal das erste

Code:

ATTFilter

 
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/20/2012 at 08:07 PM

Application Version : 5.0.1150

Core Rules Database Version : 8763
Trace Rules Database Version: 6575

Scan type       : Complete Scan
Total Scan Time : 05:46:42

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 478
Memory threats detected   : 0
Registry items scanned    : 34134
Registry threats detected : 0
File items scanned        : 104537
File threats detected     : 1

Trojan.Agent/Gen-Yoddos
	C:\PROGRAMME\WINRAR\DEFAULT.SFX

Malwarebytes hab ich gestern Abend noch laufen lassen aber beim abspeichern ist mir der PC "eingefroren" muss ich den Scan noch mal machen oder hat er das Log irgendwo gespeichert ?

lg
Nicole

cosinus · 21.06.2012, 10:28

Code:

ATTFilter

Trojan.Agent/Gen-Yoddos
	C:\PROGRAMME\WINRAR\DEFAULT.SFX

Das ist der von SUPERAntiSpyware typische Fehlalarm

Zitat:

Malwarebytes hab ich gestern Abend noch laufen lassen aber beim abspeichern ist mir der PC "eingefroren" muss ich den Scan noch mal machen oder hat er das Log irgendwo gespeichert ?

Wohl nicht, aber schau mal nach im Reiter Logdateien ob da ein neues Log aufgetaucht ist bzw. ein Log mit dem Datum was du deinem Scan zuordnen kannst als der PC einfror

Masatow · 21.06.2012, 15:03

Hi,
hier das letzte Log

Code:

ATTFilter

  

  Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.20.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Nicole :: KRANET [Administrator]

Schutz: Deaktiviert

21.06.2012 11:49:04
mbam-log-2012-06-21 (11-49-04).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 289470
Laufzeit: 3 Stunde(n), 57 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Lg Nicole

cosinus · 21.06.2012, 15:27

Keine Funde!

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

19.06.2012, 08:46	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 von Avira gefunden Und die anderen Logs? __________________ Logfiles bitte immer in CODE-Tags posten

19.06.2012, 14:41	#26
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 von Avira gefunden Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

21.06.2012, 15:27	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 von Avira gefunden Keine Funde! Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 von Avira gefunden

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 von Avira gefunden