Hallo zusammen,

wenn ich mit CCleaner meinen Computer bzw. die Registry untersuche findet der immer der immer das selbe. Das geht auch nicht weg egal wie oft ich die Fehler in der Registry behebe.

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Außerdem findet AntiVir seid wenigen Tagen immer wieder einen Virus im Ordner System 32.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:06, on 23.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Dateien\Real\Update_OB\realsched.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4d756034759342df9342eeac146bbd95
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4d756034759342df9342eeac146bbd95
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177158109359
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FVSUBGXQMEG - Unknown owner - C:\DOKUME~1\User\LOKALE~1\Temp\FVSUBGXQMEG.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9b3abc89374fa) (gupdate1c9b3abc89374fa) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 7497 bytes





Danke schonmal im vorraus

Hallo,

Zitat:

Außerdem findet AntiVir seid wenigen Tagen immer wieder einen Virus im Ordner System 32.

Das hilft nicht weiter!! Immer die genauen Pfade und Dateinamen posten!!

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) - den CCleaner kannst Du erstmal weglassen, hast Du auch schon ausgeführt.

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Also Antivir meldet immer folgendes:

In der Datei 'C:\WINDOWS\system32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\system32\tdlcmd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


auch wenn sich das jetzt doof anhört, aber ich habe gestern Abend mit Malwarebytes einen vollständigen scan gemacht und der hat nichts gefunden.
Den Log hab ich natürlich nicht gespeichert und ich habe jetzt keine Zeit den Scan nochmals auszuführen da ich noch was für die Schule machen muss am PC und der Scan dauert seine 3 Stunden.
Was mach ich wegen der Dateiendung ??

Ähm, die ungenutzte Dateiendung ist das kleinste Problem.
Mach einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So habe combofix ausgeführt, hier die log

ComboFix 09-11-23.06 - User 24.11.2009 20:24.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1683 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\User\Anwendungsdaten\Gmail
c:\programme\INSTALL.LOG
c:\temp\PRE45
c:\windows\pi.exe
c:\windows\system32\eswdpqxo.ini
c:\windows\system32\Plugins
c:\windows\system32\Plugins\ml\ml_pmp_device_WALKMAN.ini
c:\windows\system32\sX3i19
c:\windows\system32\xbJSYJlm.ini
c:\windows\system32\xbJSYJlm.ini2

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2009-10-24 bis 2009-11-24 ))))))))))))))))))))))))))))))
.

2009-11-23 21:40 . 2009-11-23 21:40 -------- d-----w- c:\programme\Sophos
2009-11-03 21:14 . 2009-11-03 21:14 -------- d-----w- C:\My Music
2009-11-01 20:43 . 2009-11-01 20:43 2287616 ----a-w- c:\windows\system32\TUKernel.exe
2009-11-01 15:00 . 2009-11-01 15:00 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\TuneUp Software
2009-11-01 14:42 . 2009-11-01 14:42 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\TuneUp Software
2009-11-01 14:42 . 2009-11-07 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-11-01 14:41 . 2009-11-01 14:41 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2009-11-01 14:07 . 2009-11-01 14:07 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-10-30 11:59 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-30 11:59 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-30 11:59 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-30 11:59 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\programme\Avira
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-23 23:07 . 2007-04-21 12:58 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\OpenOffice.org2
2009-11-23 20:13 . 2009-04-02 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-11-23 17:53 . 2008-11-26 19:14 -------- d-----w- c:\programme\CCleaner
2009-11-09 18:31 . 2007-05-21 14:56 -------- d-----w- c:\programme\LingoPad
2009-11-01 15:23 . 2007-07-12 00:56 -------- d-----w- c:\programme\UltraGet Video Downloader
2009-11-01 15:18 . 2009-08-17 15:49 -------- d-----w- c:\programme\Enigma Software Group
2009-11-01 15:02 . 2008-12-15 20:52 -------- d-----w- c:\programme\Red Kawa
2009-11-01 14:07 . 2007-06-17 13:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-11-01 14:06 . 2007-04-26 12:04 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-11-01 14:06 . 2007-04-26 12:04 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-10-25 19:23 . 2004-08-04 12:00 84666 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 19:23 . 2004-08-04 12:00 458808 ----a-w- c:\windows\system32\perfh007.dat
2009-10-14 12:37 . 2007-05-28 10:37 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Canon
2009-10-13 14:53 . 2007-05-07 17:09 269512 ----a-w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-12 14:45 . 2009-10-12 14:41 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2009-10-08 16:20 . 2009-10-08 16:20 -------- d-----w- c:\programme\directx
2009-10-08 09:24 . 2007-09-20 10:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-10-07 22:08 . 2008-03-11 14:56 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-10-07 20:52 . 2008-12-28 18:25 -------- d-----w- c:\programme\Trillian
2009-10-07 20:52 . 2009-09-02 12:21 -------- d-----w- c:\programme\CeWe
2009-10-07 20:51 . 2009-09-25 14:33 -------- d-----w- c:\programme\Pixum
2009-10-07 20:51 . 2007-04-21 11:08 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-10-07 20:33 . 2007-10-01 11:51 -------- d-----w- c:\programme\Reality Pump
2009-09-27 12:16 . 2009-09-25 12:41 -------- d-----w- c:\programme\Microsoft Silverlight
2009-09-25 05:35 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:35 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-14 15:53 . 2007-04-26 14:34 534 ----a-w- c:\windows\eReg.dat
2009-09-11 14:17 . 2004-08-04 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 15:10 . 2009-09-10 15:10 422 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe
2009-09-10 15:10 . 2009-09-10 15:10 16141 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe
2009-09-10 15:10 . 2009-09-10 15:10 145131 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll
2009-09-10 15:10 . 2009-09-10 15:10 13221 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe
2009-09-10 15:10 . 2009-09-10 15:10 11232 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll
2009-09-04 21:03 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2008-12-02 21:58 . 2008-12-02 21:58 231390 ----a-w- c:\programme\RootkitRevealer.zip
2006-05-03 10:06 . 2008-02-08 13:15 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-02-08 13:15 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-02-08 13:15 27648 --sh--w- c:\windows\system32\Smab0.dll
2008-02-04 19:26 . 2008-02-08 13:15 151040 --sh--w- c:\windows\system32\VistaUltm.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-01 198160]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkbMonitor.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\NkbMonitor.exe.lnk
backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Winexit.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Winexit.lnk
backup=c:\windows\pss\Winexit.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"CiSvc"=3 (0x3)
"ImapiService"=3 (0x3)
"NVSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\counter-strike\\hl.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\condition zero\\hl.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\condition zero deleted scenes\\hl.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\day of defeat\\hl.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 12:59 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [25.09.2009 13:41 54752]
S2 gupdate1c9b3abc89374fa;Google Update Service (gupdate1c9b3abc89374fa);c:\programme\Google\Update\GoogleUpdate.exe [02.04.2009 16:57 133104]
S3 0e63;0e63;\??\c:\windows\system32\0e63.sys --> c:\windows\system32\0e63.sys [?]
S3 31fF;31fF;\??\c:\windows\system32\31fF.sys --> c:\windows\system32\31fF.sys [?]
S3 3aeB;3aeB;\??\c:\windows\system32\3aeB.sys --> c:\windows\system32\3aeB.sys [?]
S3 6406;6406;\??\c:\windows\system32\6406.sys --> c:\windows\system32\6406.sys [?]
S3 989A;989A;\??\c:\windows\system32\989A.sys --> c:\windows\system32\989A.sys [?]
S3 a9910;a9910;\??\c:\windows\system32\a9910.sys --> c:\windows\system32\a9910.sys [?]
S3 ad37;ad37;\??\c:\windows\system32\ad37.sys --> c:\windows\system32\ad37.sys [?]
S3 d3bE;d3bE;\??\c:\windows\system32\d3bE.sys --> c:\windows\system32\d3bE.sys [?]
S3 e098;e098;\??\c:\windows\system32\e098.sys --> c:\windows\system32\e098.sys [?]
S3 eb32;eb32;\??\c:\windows\system32\eb32.sys --> c:\windows\system32\eb32.sys [?]
S3 f4f4;f4f4;\??\c:\windows\system32\f4f4.sys --> c:\windows\system32\f4f4.sys [?]
S3 ff5C;ff5C;\??\c:\windows\system32\ff5C.sys --> c:\windows\system32\ff5C.sys [?]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
S3 FVSUBGXQMEG;FVSUBGXQMEG;c:\dokume~1\User\LOKALE~1\Temp\FVSUBGXQMEG.exe --> c:\dokume~1\User\LOKALE~1\Temp\FVSUBGXQMEG.exe [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\3D.tmp --> c:\windows\system32\3D.tmp [?]
S3 VtcDrv;Philips SA60xx Recovery Device;c:\windows\system32\drivers\vtcdrv.sys [07.02.2008 16:40 18560]
S4 No30oiaschp;No30oiaschp; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5FFA5C2-F80C-EB92-15E5-50CB6D007E4D}]
c:\windows\system32\win32GI\svhost.exe s
.
Inhalt des "geplante Tasks" Ordners

2009-11-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-06 15:57]

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-02 15:57]

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-02 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = Google
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - Sign In
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4d756034759342df9342eeac146bbd95
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4d756034759342df9342eeac146bbd95
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ozz5rs05.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ozz5rs05.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-NVIDIA Drivers - c:\windows\system32\nvudisp.exe UninstallGUI
AddRemove-RealPlayer 12.0 - c:\programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
AddRemove-Sophos-AntiRootkit - c:\programme\Sophos\Sophos Anti-Rootkit\helper.exe remove
AddRemove-Steam App 10 - d:\spiele\steam.exe steam://uninstall/10
AddRemove-Steam App 100 - d:\spiele\steam.exe steam://uninstall/100
AddRemove-Steam App 150 - d:\spiele\steam.exe steam://uninstall/150
AddRemove-Steam App 30 - d:\spiele\steam.exe steam://uninstall/30
AddRemove-Steam App 40 - d:\spiele\steam.exe steam://uninstall/40
AddRemove-Steam App 60 - d:\spiele\steam.exe steam://uninstall/60
AddRemove-Steam App 80 - d:\spiele\steam.exe steam://uninstall/80



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-24 20:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\3D.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3868)
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\windows\system32\ConnAPI.DLL
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-24 20:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-24 19:38

Vor Suchlauf: 1.835.343.872 Bytes frei
Nach Suchlauf: 1.888.608.256 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=C18QMD /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=C18QMD-BAK

- - End Of File - - 6F750E3B80F530C70119ADE2CE6BA133

Ach Du Shice! Da ist aber ne Menge drin!
Wir müssen ne Menge runterkloppen!!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Vorsicht!!! Lange Liste!! Bitte stell sicher, dass Du auch alles aus der Codebox kopierst (musst runterscrollen innerhalb der Codebox)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Winexit.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5FFA5C2-F80C-EB92-15E5-50CB6D007E4D}]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]

Folder::
c:\windows\system32\win32GI

File::
c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll
c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll
c:\windows\system32\0e63.sys
c:\windows\system32\31fF.sys
c:\windows\system32\3aeB.sys
c:\windows\system32\6406.sys
c:\windows\system32\989A.sys
c:\windows\system32\a9910.sys
c:\windows\system32\ad37.sys
c:\windows\system32\d3bE.sys
c:\windows\system32\e098.sys
c:\windows\system32\eb32.sys
c:\windows\system32\f4f4.sys
c:\windows\system32\ff5C.sys
c:\windows\system32\3D.tmp

Driver::
31fF
3aeB
6406
989A
a9910
ad37
d3bE
e098
eb32
f4f4
ff5C
MEMSWEEP2
No30oiaschp
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe (oder cofi.exe), so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ComboFix 09-11-23.06 - User 24.11.2009 21:17:28.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1660 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\Cofi.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\User\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll"
"c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe"
"c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe"
"c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll"
"c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe"
"c:\windows\system32\0e63.sys"
"c:\windows\system32\31fF.sys"
"c:\windows\system32\3aeB.sys"
"c:\windows\system32\3D.tmp"
"c:\windows\system32\6406.sys"
"c:\windows\system32\989A.sys"
"c:\windows\system32\a9910.sys"
"c:\windows\system32\ad37.sys"
"c:\windows\system32\d3bE.sys"
"c:\windows\system32\e098.sys"
"c:\windows\system32\eb32.sys"
"c:\windows\system32\f4f4.sys"
"c:\windows\system32\ff5C.sys"
.

das kam dabei raus

Mehr kam da nicht? Oder hast Du das Logfile nicht vollständig gepostet? Lief Combofix denn voll durch?

ja eigentlich ja nur beim neustarten hat der nen bisschen mucken gemacht, soll ich compfix nochmal ausführen

Nee, nimm lieber den Avenger, mit dem können wir die Objekte auch löschen und ich habe den Eindruck der läuft zuverlässiger durch

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry keys to delete:
HKLM\software\microsoft\active setup\installed components\{C5FFA5C2-F80C-EB92-15E5-50CB6D007E4D}
HKLM\System\ControlSet002\Services\MEMSWEEP2

Folders to delete:
c:\windows\system32\win32GI

Files to delete:
c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll
c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll
c:\windows\system32\0e63.sys
c:\windows\system32\31fF.sys
c:\windows\system32\3aeB.sys
c:\windows\system32\6406.sys
c:\windows\system32\989A.sys
c:\windows\system32\a9910.sys
c:\windows\system32\ad37.sys
c:\windows\system32\d3bE.sys
c:\windows\system32\e098.sys
c:\windows\system32\eb32.sys
c:\windows\system32\f4f4.sys
c:\windows\system32\ff5C.sys
c:\windows\system32\3D.tmp

Drivers to delete:
31fF
3aeB
6406
989A
a9910
ad37
d3bE
e098
eb32
f4f4
ff5C
MEMSWEEP2
No30oiaschp
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\System\ControlSet002\Services\MEMSWEEP2" deleted successfully.

Error: folder "c:\windows\system32\win32GI" not found!
Deletion of folder "c:\windows\system32\win32GI" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe" not found!
Deletion of file "c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe" not found!
Deletion of file "c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll" not found!
Deletion of file "c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe" not found!
Deletion of file "c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll" not found!
Deletion of file "c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\0e63.sys" not found!
Deletion of file "c:\windows\system32\0e63.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\31fF.sys" not found!
Deletion of file "c:\windows\system32\31fF.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\3aeB.sys" not found!
Deletion of file "c:\windows\system32\3aeB.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\6406.sys" not found!
Deletion of file "c:\windows\system32\6406.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\989A.sys" not found!
Deletion of file "c:\windows\system32\989A.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\a9910.sys" not found!
Deletion of file "c:\windows\system32\a9910.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\ad37.sys" not found!
Deletion of file "c:\windows\system32\ad37.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\d3bE.sys" not found!
Deletion of file "c:\windows\system32\d3bE.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\e098.sys" not found!
Deletion of file "c:\windows\system32\e098.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\eb32.sys" not found!
Deletion of file "c:\windows\system32\eb32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\f4f4.sys" not found!
Deletion of file "c:\windows\system32\f4f4.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\ff5C.sys" not found!
Deletion of file "c:\windows\system32\ff5C.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\3D.tmp" not found!
Deletion of file "c:\windows\system32\3D.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "31fF" deleted successfully.
Driver "3aeB" deleted successfully.
Driver "6406" deleted successfully.
Driver "989A" deleted successfully.
Driver "a9910" deleted successfully.
Driver "ad37" deleted successfully.
Driver "d3bE" deleted successfully.
Driver "e098" deleted successfully.
Driver "eb32" deleted successfully.
Driver "f4f4" deleted successfully.
Driver "ff5C" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\MEMSWEEP2" not found!
Deletion of driver "MEMSWEEP2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "No30oiaschp" deleted successfully.
Registry key "HKLM\software\microsoft\active setup\installed components\{C5FFA5C2-F80C-EB92-15E5-50CB6D007E4D}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




So das lief alles ohne Probleme

Zitat:

Also Antivir meldet immer folgendes:

In der Datei 'C:\WINDOWS\system32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\system32\tdlcmd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Kommen diese Meldungen von ANtiVir noch? Poste zur Kontrolle bitte neue Logfiles von RSIT

Nein also gestern Abend zeigte AntiVir nichts mehr davon doch jetzt gerade kam folgendes:

In der Datei 'C:\System Volume Information\_restore{5BBF7EE9-8E00-4325-BFDA-E00E385B3760}\RP259\A0048250.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

File-Upload.net - log.txt

File-Upload.net - info.txt

So hier noch die Log's von RSIT

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Die Logs seh ich mir nachher mal an.