Internet Explorer startet von allein (Nur im Taskmanager zu sehen)

rohpinn · 20.01.2010, 19:53

so der scan ist fertig
log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3599
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.1.2010 19:36:20
mbam-log-2010-01-20 (19-36-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 641207
Laufzeit: 3 hour(s), 17 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\searchmigrateddefaulturl (Trojan.Zlob) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\SearchMigratedDefaultURL (Hijack.SearchPage) -> Bad: (http://internetsearchservice.com/search?q={searchTerms}) Good: (http://www.Google.com/) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{D8212FAE-EB41-4214-B31E-CC849F98F55F}\RP185\A0077348.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTgjynkcglye.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTubvfqpidvp.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTvjiqmiuhsm.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTdsgwpndbkl.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\temp\H8SRT6af7.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

cosinus · 20.01.2010, 20:07

Gut, mach bitte nun mit CF weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

rohpinn · 20.01.2010, 20:28

combofix zeigt, dass AntiVir Desktop als Real-Time Scanner aktiv ist.
ich habe aber den AntiVir Guard deaktiviert.

cosinus · 20.01.2010, 20:31

Dann bitte die Meldung ignorieren. Falls AntiVir aber sich meldet sollte während CF werkelt, bitte nichts verweigern oder löschen, damit CF unstört seine Arbeit verrichten kann.

rohpinn · 20.01.2010, 21:03

der Scan ist fertig.
auf meinem Desktop ist jetzt ein Icon vom Internet Explorer... ist das schlimm oder macht das nix?

hier der log:
ComboFix 10-01-19.08 - Robin 20.01.2010 20:39:47.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1606 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Robin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-20 bis 2010-01-20 ))))))))))))))))))))))))))))))
.

2010-01-19 17:33 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-19 17:33 . 2010-01-19 17:34 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-19 17:33 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-19 17:31 . 2010-01-19 17:31 -------- d-----w- c:\dokumente und einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\AOL
2010-01-19 17:31 . 2010-01-19 17:32 -------- d-----w- c:\programme\ICQ7.0
2010-01-17 19:48 . 2009-10-07 08:43 199192 ----a-w- c:\windows\system32\lvci12101110.dll
2010-01-16 20:49 . 2010-01-16 20:49 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-01-15 22:13 . 2010-01-15 22:13 -------- d-----w- c:\dokumente und einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\Wings of Prey
2010-01-15 22:12 . 2010-01-15 22:12 -------- d-----w- c:\dokumente und einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\WOP
2010-01-15 22:12 . 2010-01-15 22:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WOP
2010-01-15 22:12 . 2009-09-04 16:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-01-15 22:12 . 2009-09-04 16:29 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2010-01-13 21:13 . 2010-01-13 21:13 -------- d-----w- C:\2eb03b4227cb35050d10ebb1efa216
2010-01-13 15:16 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-05 20:24 . 2008-04-13 23:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2010-01-05 20:24 . 2008-04-13 23:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2010-01-05 20:24 . 2008-04-13 23:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-05 20:24 . 2008-04-13 23:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-12-26 09:52 . 2009-12-26 11:21 -------- d-----w- C:\Worms DL
2009-12-25 16:07 . 2009-12-25 16:10 47104 ----a-w- c:\windows\system32\KMVIDC32.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 17:32 . 2008-08-08 07:33 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\ICQ
2010-01-19 17:31 . 2008-07-22 18:01 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-01-19 16:52 . 2008-08-23 07:42 -------- d-----w- c:\programme\Steam
2010-01-18 15:47 . 2009-05-31 17:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-18 15:15 . 2010-01-05 20:31 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-01-18 15:15 . 2010-01-05 20:30 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2010-01-17 19:49 . 2010-01-05 20:29 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShrd
2010-01-14 18:55 . 2009-04-07 16:41 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\Skype
2010-01-14 16:28 . 2008-10-11 19:03 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\skypePM
2010-01-07 21:09 . 2009-07-07 16:47 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\vlc
2010-01-07 09:48 . 2010-01-05 20:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-01-05 20:32 . 2010-01-05 20:29 -------- d-----w- c:\programme\Logitech
2009-12-30 11:37 . 2009-03-11 13:00 -------- d-----w- c:\programme\ICQ6.5
2009-12-26 10:57 . 2009-05-15 22:39 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\uTorrent
2009-12-26 09:42 . 2006-03-24 12:00 86710 ----a-w- c:\windows\system32\perfc007.dat
2009-12-26 09:42 . 2006-03-24 12:00 465212 ----a-w- c:\windows\system32\perfh007.dat
2009-12-25 20:38 . 2008-10-12 10:53 139152 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-12-25 20:38 . 2008-10-12 10:53 139152 ----a-w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\PnkBstrK.sys
2009-12-25 20:38 . 2008-10-12 10:53 111928 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-12-25 20:38 . 2008-10-12 10:53 794408 ----a-w- c:\windows\system32\pbsvc.exe
2009-12-25 20:38 . 2008-10-12 10:53 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-12-25 09:55 . 2008-08-05 12:12 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\dvdcss
2009-12-20 12:28 . 2008-09-28 18:31 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\teamspeak2
2009-12-20 10:22 . 2009-12-20 10:22 -------- d-----w- c:\dokumente und einstellungen\Robin\Anwendungsdaten\Notepad++
2009-12-20 10:22 . 2009-12-20 10:22 -------- d-----w- c:\programme\Notepad++
2009-12-17 17:20 . 2009-02-12 19:27 -------- d-----w- c:\programme\DivX
2009-12-17 17:20 . 2008-09-03 11:21 -------- d-----w- c:\programme\Google
2009-12-08 15:13 . 2009-11-29 10:40 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-29 10:40 . 2009-11-29 10:40 -------- d-----w- c:\programme\Avira
2009-11-29 10:40 . 2009-11-29 10:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-27 15:22 . 2009-11-27 15:22 533 ----a-w- c:\windows\eReg.dat
2009-11-27 15:14 . 2008-09-02 12:17 -------- d-----w- c:\programme\Windows Home Server
2009-11-25 15:00 . 2008-08-23 15:36 -------- d-----w- c:\programme\Opera
2009-11-22 14:36 . 2008-11-20 16:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-11-22 14:35 . 2008-11-20 16:23 -------- d-----w- c:\programme\Symantec
2009-11-22 14:35 . 2008-11-20 16:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-11-21 15:54 . 2006-03-24 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-10-29 05:24 . 2006-03-24 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2003-12-18 09:33 . 2009-08-17 16:14 20102 ----a-w- c:\programme\Readme.txt
2003-09-03 05:46 . 2009-08-17 16:14 10960 ----a-w- c:\programme\EULA.txt
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
2006-05-03 09:06 . 2008-09-05 16:35 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-09-05 16:35 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-09-05 16:35 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-09-03 3342336]
"LMab1err"="c:\programme\Lexmark\ErrorApp\LMab1err.exe" [2008-10-14 569344]
"Logitech Vid"="c:\programme\Logitech\Logitech Vid\Vid.exe" [2009-07-16 5458704]
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" [2010-01-12 133368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-31 16857600]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-25 8527872]
"nwiz"="nwiz.exe" [2007-10-25 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-25 81920]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384]

c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384]

c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2008-9-2 819200]
Windows Home Server.lnk - c:\windows\Installer\{21E49794-7C13-4E84-8659-55BD378267D5}\WHSTrayApp.exe [2008-11-29 609128]

c:\dokumente und einstellungen\Robin\Startmen\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Spiele\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"=
"c:\\Spiele\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"c:\\Spiele\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\source sdk base\\hl2.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Spiele\\FreeSpace2\\FS2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\team fortress 2\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\garrysmod\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Spiele\\Age of Empires 2\\age2_x1\\age2_x1.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\synergy\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\zombie panic! source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\insurgency\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\diprip warm up\\hl2.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Spiele\\Toblo\\Toblo 1.2.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\age of chivalry\\hl2.exe"=
"c:\\Spiele\\racer\\racer.exe"=
"c:\\Spiele\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Spiele\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\trackmania nations forever\\TmForeverLauncher.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\peggle extreme\\PeggleExtreme.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\world of goo demo\\WorldOfGoo.exe"=
"c:\\Spiele\\Kalypso\\Sins of a Solar Empire\\Sins of a Solar Empire.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"c:\\Programme\\Lexmark\\ErrorApp\\LMab1err.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\plants vs zombies\\PlantsVsZombies.exe"=
"c:\\Spiele\\Codemasters\\GRID\\GRID.exe"=
"c:\\Spiele\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Spiele\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Spiele\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\company of heroes\\RelicDownloader\\RelicDownloader.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\company of heroes\\help.htm"=
"c:\\Programme\\Steam\\steamapps\\common\\company of heroes\\RelicCOH.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\red orchestra\\System\\RedOrchestra.exe"=
"c:\\Spiele\\Team17\\Worms2\\Frontend.exe"=
"c:\\Spiele\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"c:\\Spiele\\Team17\\Worms World Party\\Worms World Party.exe"=
"c:\\Programme\\Steam\\steamapps\\robinian\\source sdk base 2007\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead 2\\left4dead2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [11.4.2009 20:57 28544]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.11.2008 13:46 717296]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23.1.2008 09:19 501560]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.11.2009 11:40 108289]
R2 esClient;Windows Media Center-Clientdienst;c:\programme\Windows Home Server\esClient.exe [7.10.2009 15:27 97128]
R2 WHSConnector;Windows Home Server-Connectordienst;c:\programme\Windows Home Server\WHSConnector.exe [7.10.2009 15:27 376680]
S2 gupdate1ca7f3d189488ba;Google Update Service (gupdate1ca7f3d189488ba);c:\programme\Google\Update\GoogleUpdate.exe [17.12.2009 18:19 133104]
S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i-MCE;c:\windows\system32\drivers\3xHybrid.sys [19.9.2009 19:05 1121536]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [7.10.2008 17:22 1527900]
S3 mdxgthkn;mdxgthkn;\??\c:\dokume~1\Robin\LOKALE~1\Temp\mdxgthkn.sys --> c:\dokume~1\Robin\LOKALE~1\Temp\mdxgthkn.sys [?]
S3 PhilCap;Pinnacle PCTV service;c:\windows\system32\drivers\PhilCap.sys [17.7.2007 09:22 908832]
S3 SS1018mdm;Sony Ericsson Mobile Device Full USB Driver;c:\windows\system32\drivers\SS1018mdm.sys [8.2.2009 14:33 58536]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [7.10.2008 17:26 544768]
S3 zlportio;zlportio;\??\c:\spiele\UltraStar Deluxe\zlportio.sys --> c:\spiele\UltraStar Deluxe\zlportio.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-17 17:19]

2010-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-17 17:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = 687474703a2f2f7777772e676f6f676c652e636f6d2f
mSearchMigratedDefaultURL = 687474703a2f2f7777772e476f6f676c652e636f6d2f
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\programme\ICQ7.0\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\2etu6pjy.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - plugin: c:\dokumente und einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\2etu6pjy.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\dokumente und einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\2etu6pjy.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-20 20:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys speh.sys >>UNKNOWN [0x8A5DF938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf766bf28
\Driver\ACPI -> ACPI.sys @ 0xf7495cb8
\Driver\atapi -> sfsync02.sys @ 0xf76388b4
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e668e
ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e668e
ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xbae72bb0
PacketIndicateHandler -> NDIS.sys @ 0xbae7fa21
SendHandler -> NDIS.sys @ 0xbae5d87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-823518204-261478967-839522115-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:be,52,3c,bb,04,01,83,a6,ed,56,b1,a8,2f,2a,42,f3,a7,a5,87,25,bd,a4,ac,
d2,6b,a8,05,a6,f0,cb,e6,55,2e,2e,a8,47,5d,b0,dd,a4,9d,bc,a4,01,14,ff,89,e5,\
"??"=hex:3a,4c,c8,2e,9f,cf,65,24,93,af,d0,01,e1,5c,48,5a

[HKEY_USERS\S-1-5-21-823518204-261478967-839522115-1005\Software\SecuROM\License information*]
"datasecu"=hex:25,bf,39,fb,bf,8a,b7,8e,76,24,69,f5,dc,29,8d,1f,c9,ee,7c,73,21,
aa,b4,01,31,26,b9,97,6b,ab,4b,b1,ec,da,0b,39,ad,25,a0,69,e9,20,c9,05,6d,9d,\
"rkeysecu"=hex:15,57,7f,70,ce,d1,62,15,37,d2,ef,f9,2c,50,98,d6
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(7648)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
c:\programme\TortoiseSVN\bin\TortoiseStub.dll
c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
c:\programme\TortoiseSVN\bin\intl3_tsvn.dll
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LMabcoms.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Windows Home Server\WHSTrayApp.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\eHome\ehmsas.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-20 21:02:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-20 20:02
ComboFix2.txt 2009-04-07 21:50

Vor Suchlauf: 19 Verzeichnis(se), 10.540.273.664 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 10.739.384.320 Bytes frei

- - End Of File - - 46413B45250FC484189F7623B3DEACB1

cosinus · 20.01.2010, 21:50

Bitte einen Durchlauf mit GMER machen und das Log posten, ich trau der Sache noch nicht soo ganz

rohpinn · 23.01.2010, 21:29

sorry, ich habe einfach nie genug zeit um den scan ganz durchlaufen zu lassen :P

cosinus · 24.01.2010, 20:06

Dann lass es doch mal über Nacht durchlaufen

rohpinn · 24.01.2010, 20:38

vllt. irgnedwie werd ich das schon noch hinbekommen^^

20.01.2010, 20:31	#19
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Internet Explorer startet von allein (Nur im Taskmanager zu sehen) Dann bitte die Meldung ignorieren. Falls AntiVir aber sich meldet sollte während CF werkelt, bitte nichts verweigern oder löschen, damit CF unstört seine Arbeit verrichten kann. __________________ Logfiles bitte immer in CODE-Tags posten

20.01.2010, 21:50	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Internet Explorer startet von allein (Nur im Taskmanager zu sehen) Bitte einen Durchlauf mit GMER machen und das Log posten, ich trau der Sache noch nicht soo ganz __________________ --> Internet Explorer startet von allein (Nur im Taskmanager zu sehen)

24.01.2010, 20:06	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Internet Explorer startet von allein (Nur im Taskmanager zu sehen) Dann lass es doch mal über Nacht durchlaufen __________________ Logfiles bitte immer in CODE-Tags posten

Internet Explorer startet von allein (Nur im Taskmanager zu sehen)

Plagegeister aller Art und deren Bekämpfung: Internet Explorer startet von allein (Nur im Taskmanager zu sehen)