RECYCLER\S-5-2-28-100007742-100000561-100025748-3362.com

7dust · 01.05.2009, 13:42

So habe jetzt die untenstehende Aktion durchgeführt.
Allerdings ohne die externe Festplatte und den USB-Stick anzuschließen.

Hätte ich die vordieserAktion anschließen müssen oder werden die im Nachgang von Schädlingen befreit?

PHP-Code:

  ComboFix 09-04-29.03 - Frank 01.05.2009 14:28.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.991.571 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Frank\Desktop\cfscript.txt

AV: Avira Premium Security Suite *On-access scanning enabled* (Updated)

FW: Avira Firewall *enabled*

 * Neuer Wiederherstellungspunkt wurde erstellt

 
FILE ::

c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

c:\windows\system32\perfc007.dat

c:\windows\system32\perfh007.dat

c:\windows\Tasks\AppleSoftwareUpdate.job

.

 
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

 
c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

C:\f1c84b8a7dad054ed1cb

c:\f1c84b8a7dad054ed1cb\amd64\filterpipelineprintproc.dll

c:\f1c84b8a7dad054ed1cb\amd64\msxpsdrv.cat

c:\f1c84b8a7dad054ed1cb\amd64\msxpsdrv.inf

c:\f1c84b8a7dad054ed1cb\amd64\msxpsinc.gpd

c:\f1c84b8a7dad054ed1cb\amd64\msxpsinc.ppd

c:\f1c84b8a7dad054ed1cb\amd64\mxdwdrv.dll

c:\f1c84b8a7dad054ed1cb\amd64\xpssvcs.dll

c:\f1c84b8a7dad054ed1cb\i386\filterpipelineprintproc.dll

c:\f1c84b8a7dad054ed1cb\i386\msxpsdrv.cat

c:\f1c84b8a7dad054ed1cb\i386\msxpsdrv.inf

c:\f1c84b8a7dad054ed1cb\i386\msxpsinc.gpd

c:\f1c84b8a7dad054ed1cb\i386\msxpsinc.ppd

c:\f1c84b8a7dad054ed1cb\i386\mxdwdrv.dll

c:\f1c84b8a7dad054ed1cb\i386\xpssvcs.dll

C:\rsit

c:\rsit\info.txt

c:\rsit\log.txt

c:\windows\system32\perfc007.dat

c:\windows\system32\perfh007.dat

 
.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

 
-------\Legacy_CATCHME

-------\Service_catchme

 
 
(((((((((((((((((((((((   Dateien erstellt von 2009-06-01 bis 2009-5-1  ))))))))))))))))))))))))))))))

.

 
2009-05-30 09:33 . 2009-05-30 09:33    --------    d-----w    c:\programme\trend micro

2009-05-30 08:20 . 2009-05-30 08:20    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard

2009-05-30 08:19 . 2007-07-16 13:29    59928    ----a-w    c:\windows\system32\fxcompchannel.dll

2009-05-30 08:19 . 2007-07-17 01:55    665    ----a-r    c:\windows\system32\hppapr11.dat

2009-05-30 08:19 . 2008-01-04 21:04    331776    ----a-r    c:\windows\system32\hppcpr11.dll

2009-05-30 08:12 . 2008-04-13 20:17    25856    -c--a-w    c:\windows\system32\dllcache\usbprint.sys

2009-05-30 08:12 . 2008-04-13 20:17    25856    ----a-w    c:\windows\system32\drivers\usbprint.sys

2009-05-28 18:43 . 2009-05-28 18:43    --------    d-----w    c:\dokumente und einstellungen\Frank\Anwendungsdaten\Malwarebytes

2009-05-28 18:43 . 2009-04-06 13:32    15504    ----a-w    c:\windows\system32\drivers\mbam.sys

2009-05-28 18:43 . 2009-04-06 13:32    38496    ----a-w    c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-28 18:43 . 2009-05-28 18:43    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-05-28 18:43 . 2009-05-28 18:43    --------    d-----w    c:\programme\Malwarebytes' Anti-Malware

2009-05-28 18:30 . 2009-05-28 18:30    --------    d-----w    c:\programme\CCleaner

2009-05-28 17:58 . 2008-04-13 21:15    26368    -c--a-w    c:\windows\system32\dllcache\usbstor.sys

2009-05-27 17:32 . 2009-05-27 17:32    --------    d-----w    c:\programme\iPod

2009-05-27 17:32 . 2009-05-27 17:32    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-05-27 17:32 . 2009-05-27 17:32    --------    d-----w    c:\programme\iTunes

2009-05-24 08:38 . 2009-05-24 08:38    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet

2009-05-24 08:30 . 2009-05-24 08:30    --------    d-----w    c:\programme\Gemeinsame Dateien\Macrovision Shared

2009-05-24 08:28 . 2009-05-24 08:33    --------    d-----w    c:\programme\Gemeinsame Dateien\Autodesk Shared

2009-05-24 08:28 . 2009-05-24 08:28    --------    d-----w    c:\dokumente und einstellungen\Frank\Anwendungsdaten\Autodesk

2009-05-24 08:28 . 2009-05-24 08:28    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk

2009-05-24 08:28 . 2009-05-24 08:33    --------    d-----w    c:\programme\AutoCAD 2010

2009-05-24 08:28 . 2009-05-24 08:28    --------    d-----w    c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Autodesk

2009-05-24 08:27 . 2008-03-05 13:56    1420824    ----a-w    c:\windows\system32\D3DCompiler_37.dll

2009-05-24 08:27 . 2008-02-05 21:07    462864    ----a-w    c:\windows\system32\d3dx10_37.dll

2009-05-24 08:27 . 2008-03-05 13:56    3786760    ----a-w    c:\windows\system32\D3DX9_37.dll

2009-05-24 08:27 . 2009-05-24 08:27    --------    d-----w    c:\windows\Logs

2009-05-24 08:25 . 2006-06-29 11:07    14048    ------w    c:\windows\system32\spmsg2.dll

2009-05-24 08:23 . 2009-05-01 12:30    601808    ----a-w    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

2009-05-24 08:22 . 2009-05-24 08:25    --------    d-----w    c:\windows\system32\XPSViewer

2009-05-24 08:22 . 2009-05-24 08:22    --------    d-----w    c:\programme\Reference Assemblies

2009-05-24 08:22 . 2008-07-06 12:06    117760    ------w    c:\windows\system32\prntvpt.dll

2009-05-24 08:22 . 2008-07-06 12:06    89088    -c----w    c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-05-24 08:22 . 2008-07-06 10:50    597504    -c----w    c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-05-24 08:22 . 2008-07-06 12:06    575488    -c----w    c:\windows\system32\dllcache\xpsshhdr.dll

2009-05-24 08:22 . 2008-07-06 12:06    575488    ------w    c:\windows\system32\xpsshhdr.dll

2009-05-24 08:22 . 2008-07-06 12:06    1676288    -c----w    c:\windows\system32\dllcache\xpssvcs.dll

2009-05-24 08:22 . 2008-07-06 12:06    1676288    ------w    c:\windows\system32\xpssvcs.dll

2009-05-24 08:04 . 2009-05-24 08:09    --------    d-----w    c:\programme\autocad

2009-04-30 15:19 . 2009-04-30 15:19    664    ----a-w    c:\windows\system32\d3d9caps.dat

2009-04-04 13:37 . 2009-04-04 13:37    --------    d-----w    c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

 
.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-27 17:32 . 2009-03-29 10:14    --------    d-----w    c:\programme\Gemeinsame Dateien\Apple

2009-05-24 08:22 . 2009-03-19 21:44    --------    d-----w    c:\programme\MSBuild

2009-03-31 17:36 . 2009-03-31 17:36    --------    d-----w    c:\programme\Ashampoo

2009-03-29 10:15 . 2009-03-29 10:15    --------    d-----w    c:\programme\QuickTime

2009-03-22 12:09 . 2009-03-22 12:09    --------    d-----w    c:\programme\VideoLAN

2009-03-21 09:09 . 2009-03-19 19:44    86327    ----a-w    c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-03-19 21:44 . 2009-03-19 21:44    --------    d-----w    c:\programme\Microsoft Works

2009-03-19 21:06 . 2009-03-19 21:06    --------    d-----w    c:\programme\Gemeinsame Dateien\Adobe

2009-03-19 20:41 . 2009-03-19 20:41    0    ----a-w    c:\windows\nsreg.dat

2009-03-19 20:16 . 2009-03-19 20:16    --------    d-----w    c:\programme\Avira

2009-03-19 19:47 . 2009-03-19 19:47    --------    d-----w    c:\programme\microsoft frontpage

2009-03-19 19:44 . 2008-04-14 10:00    67    --sha-w    c:\windows\Fonts\desktop.ini

2009-03-19 19:43 . 2009-03-19 19:43    --------    d-----w    c:\programme\Online-Dienste

2009-03-19 19:42 . 2009-03-19 19:42    --------    d-----w    c:\programme\Gemeinsame Dateien\Dienste

2009-03-19 19:41 . 2009-03-19 19:41    21740    ----a-w    c:\windows\system32\emptyregdb.dat

2009-03-19 19:40 . 2009-03-19 19:40    --------    d-----w    c:\programme\Windows Media Connect 2

2009-03-19 14:32 . 2009-03-29 10:16    23400    ----a-w    c:\windows\system32\drivers\GEARAspiWDM.sys

2009-03-05 21:59 . 2009-03-29 10:14    36864    ----a-w    c:\windows\system32\drivers\usbaapl.sys

2009-03-05 21:59 . 2009-03-29 10:14    1900544    ----a-w    c:\windows\system32\usbaaplrc.dll

2009-02-12 12:08 . 2009-02-12 12:08    16712    ----a-w    c:\windows\system32\AcSignExtRes.dll

2009-02-09 08:13 . 2009-02-09 08:13    43160    ----a-w    c:\windows\system32\AcSignIcon.dll

2009-02-09 08:13 . 2009-02-09 08:13    429720    ----a-w    c:\windows\system32\AcSignOpt.exe

2009-02-09 08:13 . 2009-02-09 08:13    29848    ----a-w    c:\windows\system32\AcSignExt.dll

.

 
------- Sigcheck -------

 
[-] 2008-11-19 17:45    1571840    451D0981F4CCA5697307AF90D799BDC3    c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]

"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\iTunes\\iTunes.exe"=

 
S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2008-05-07 71592]

S2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-05-16 344321]

S2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-03-19 164097]

S2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]

S2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]

S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2008-05-07 71464]

S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2006-06-23 180608]

 
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12    REG_MULTI_SZ       Pml Driver HPZ12 Net Driver HPZ12

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

LSP: avsda.dll

FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jzlqf817.default\

FF - prefs.js: browser.search.selectedEngine - Amazon.de

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

.

 
**************************************************************************

 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-01 14:31

Windows 5.1.2600 Service Pack 3 NTFS

 
Scanne versteckte Prozesse... 

 
Scanne versteckte Autostarteinträge... 

 
Scanne versteckte Dateien... 

 
Scan erfolgreich abgeschlossen

versteckte Dateien: 0

 
**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

 
- - - - - - - > 'lsass.exe'(988)

c:\windows\system32\avsda.dll

 
- - - - - - - > 'explorer.exe'(1504)

c:\windows\system32\msi.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\Avira Premium Security Suite\sched.exe

c:\programme\Avira\Avira Premium Security Suite\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-05-01 14:34 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-05-01 12:33

ComboFix2.txt  2009-05-30 09:08

 
Vor Suchlauf: 12 Verzeichnis(se), 56.280.293.376 Bytes frei

Nach Suchlauf: 9 Verzeichnis(se), 56.207.585.280 Bytes frei

 
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 
191

john.doe · 01.05.2009, 13:46

Bitte nicht als Php-Code posten, sondern als Code, wenn überhaupt.

Alles anschließen heißt alles anschließen.

ciao, andreas

7dust · 01.05.2009, 16:49

So habe die Anweisungen nochmals mit USB-Stick und Festplatte durchgeführt.

Wusste nicht das alles dran sein muß da in der ANleitung zuvor nichts davon stand. Ebeno mit dem phpCode.

Habe dummerweise eben festgestellt, dass auf meiner anderen externen Platte das gleiche problem besteht kann da auch nicht drauf zugreifen. Hatte diese allerdings vorher noch nicht angeschlossen. Gibt es da die Möglichkeit mit dem zuvor durchgeführten, auch dort den fehler zu beheben?

hier jetzt aber das neue logfile

ComboFix 09-04-29.03 - Frank 01.05.2009 17:20.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.991.671 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Frank\Desktop\cfscript.txt
AV: Avira Premium Security Suite *On-access scanning disabled* (Updated)
FW: Avira Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\AppleSoftwareUpdate.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME

((((((((((((((((((((((( Dateien erstellt von 2009-06-01 bis 2009-5-1 ))))))))))))))))))))))))))))))
.

2009-05-30 09:33 . 2009-05-30 09:33 -------- d-----w c:\programme\trend micro
2009-05-30 08:20 . 2009-05-30 08:20 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-05-30 08:19 . 2007-07-16 13:29 59928 ----a-w c:\windows\system32\fxcompchannel.dll
2009-05-30 08:19 . 2007-07-17 01:55 665 ----a-r c:\windows\system32\hppapr11.dat
2009-05-30 08:19 . 2008-01-04 21:04 331776 ----a-r c:\windows\system32\hppcpr11.dll
2009-05-30 08:12 . 2008-04-13 20:17 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-05-30 08:12 . 2008-04-13 20:17 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-28 18:43 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-28 18:30 . 2009-05-28 18:30 -------- d-----w c:\programme\CCleaner
2009-05-28 17:58 . 2008-04-13 21:15 26368 -c--a-w c:\windows\system32\dllcache\usbstor.sys
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\programme\iPod
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\programme\iTunes
2009-05-24 08:38 . 2009-05-24 08:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-05-24 08:30 . 2009-05-24 08:30 -------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-05-24 08:28 . 2009-05-24 08:33 -------- d-----w c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:33 -------- d-----w c:\programme\AutoCAD 2010
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Autodesk
2009-05-24 08:27 . 2008-03-05 13:56 1420824 ----a-w c:\windows\system32\D3DCompiler_37.dll
2009-05-24 08:27 . 2008-02-05 21:07 462864 ----a-w c:\windows\system32\d3dx10_37.dll
2009-05-24 08:27 . 2008-03-05 13:56 3786760 ----a-w c:\windows\system32\D3DX9_37.dll
2009-05-24 08:27 . 2009-05-24 08:27 -------- d-----w c:\windows\Logs
2009-05-24 08:25 . 2006-06-29 11:07 14048 ------w c:\windows\system32\spmsg2.dll
2009-05-24 08:23 . 2009-05-01 12:30 601808 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-24 08:22 . 2009-05-24 08:25 -------- d-----w c:\windows\system32\XPSViewer
2009-05-24 08:22 . 2009-05-24 08:22 -------- d-----w c:\programme\Reference Assemblies
2009-05-24 08:22 . 2008-07-06 12:06 117760 ------w c:\windows\system32\prntvpt.dll
2009-05-24 08:22 . 2008-07-06 12:06 89088 -c----w c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-05-24 08:22 . 2008-07-06 10:50 597504 -c----w c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-05-24 08:22 . 2008-07-06 12:06 575488 -c----w c:\windows\system32\dllcache\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06 575488 ------w c:\windows\system32\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06 1676288 -c----w c:\windows\system32\dllcache\xpssvcs.dll
2009-05-24 08:22 . 2008-07-06 12:06 1676288 ------w c:\windows\system32\xpssvcs.dll
2009-05-24 08:04 . 2009-05-24 08:09 -------- d-----w c:\programme\autocad
2009-04-30 15:19 . 2009-04-30 15:19 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-04 13:37 . 2009-04-04 13:37 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-27 17:32 . 2009-03-29 10:14 -------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-05-24 08:22 . 2009-03-19 21:44 -------- d-----w c:\programme\MSBuild
2009-05-01 12:35 . 2009-05-01 12:35 4706 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-03-31 17:36 . 2009-03-31 17:36 -------- d-----w c:\programme\Ashampoo
2009-03-29 10:15 . 2009-03-29 10:15 -------- d-----w c:\programme\QuickTime
2009-03-22 12:09 . 2009-03-22 12:09 -------- d-----w c:\programme\VideoLAN
2009-03-21 09:09 . 2009-03-19 19:44 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-19 21:44 . 2009-03-19 21:44 -------- d-----w c:\programme\Microsoft Works
2009-03-19 21:06 . 2009-03-19 21:06 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-19 20:41 . 2009-03-19 20:41 0 ----a-w c:\windows\nsreg.dat
2009-03-19 20:16 . 2009-03-19 20:16 -------- d-----w c:\programme\Avira
2009-03-19 19:47 . 2009-03-19 19:47 -------- d-----w c:\programme\microsoft frontpage
2009-03-19 19:44 . 2008-04-14 10:00 67 --sha-w c:\windows\Fonts\desktop.ini
2009-03-19 19:43 . 2009-03-19 19:43 -------- d-----w c:\programme\Online-Dienste
2009-03-19 19:42 . 2009-03-19 19:42 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-19 19:41 . 2009-03-19 19:41 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-03-19 19:40 . 2009-03-19 19:40 -------- d-----w c:\programme\Windows Media Connect 2
2009-03-19 14:32 . 2009-03-29 10:16 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-05 21:59 . 2009-03-29 10:14 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys
2009-03-05 21:59 . 2009-03-29 10:14 1900544 ----a-w c:\windows\system32\usbaaplrc.dll
2009-02-12 12:08 . 2009-02-12 12:08 16712 ----a-w c:\windows\system32\AcSignExtRes.dll
2009-02-09 08:13 . 2009-02-09 08:13 43160 ----a-w c:\windows\system32\AcSignIcon.dll
2009-02-09 08:13 . 2009-02-09 08:13 429720 ----a-w c:\windows\system32\AcSignOpt.exe
2009-02-09 08:13 . 2009-02-09 08:13 29848 ----a-w c:\windows\system32\AcSignExt.dll
.

------- Sigcheck -------

[-] 2008-11-19 17:45 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-05-30_09.07.09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 10:00 . 2009-05-30 08:21 68354 c:\windows\system32\perfc009.dat
+ 2008-04-14 10:00 . 2009-05-01 12:35 68354 c:\windows\system32\perfc009.dat
+ 2008-04-14 10:00 . 2009-05-01 12:35 435458 c:\windows\system32\perfh009.dat
- 2008-04-14 10:00 . 2009-05-30 08:21 435458 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2008-05-07 71592]
S2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-05-16 344321]
S2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-03-19 164097]
S2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
S2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2008-05-07 71464]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2006-06-23 180608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jzlqf817.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-01 17:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(992)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(3744)
c:\windows\system32\msi.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\Avira Premium Security Suite\sched.exe
c:\programme\Avira\Avira Premium Security Suite\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-01 17:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-01 15:26
ComboFix2.txt 2009-05-01 12:34
ComboFix3.txt 2009-05-30 09:08

Vor Suchlauf: 10 Verzeichnis(se), 54.144.761.856 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 54.139.912.192 Bytes frei

171

john.doe · 01.05.2009, 17:26

Zitat:

Wusste nicht das alles dran sein muß da in der ANleitung zuvor nichts davon stand.

Hö? Fielmann?

Zitat:

Stecke alles, das du jemals mit dem Computer verbunden hast, wie Kamera, Handy, Speicherkarten, Memorysticks, externe Laufwerke, ... vor dem nächsten Scan an.

Zitat:

Gibt es da die Möglichkeit mit dem zuvor durchgeführten, auch dort den fehler zu beheben?

Ja. Platte anstöpseln, ComboFix laufenlassen. Log posten.

ciao, andreas

7dust · 02.05.2009, 17:43

So, wie es aussieht scheint alles wieder zu funktionieren.

Möchte mich für die schnelle und sehr gute Hilfe bei
Dir bedanken.

john.doe · 02.05.2009, 18:08

Wie, du glaubst doch nicht etwa schon fertig zu sein?

Klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

RECYCLER\S-5-2-28-100007742-100000561-100025748-3362.com

Plagegeister aller Art und deren Bekämpfung: RECYCLER\S-5-2-28-100007742-100000561-100025748-3362.com