Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.10.2010, 22:17   #1
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Antivir und Malwarebytes haben mir heute von oben genannten Fehlermeldungen bzw infizierten Dateien berichtet. Nun bin ich kein Computerexperte und würde jede Hilfe gern annehmen. Zudem gibt es in letzter Zeit ständig irgendwelche Fehlermeldungen von meinen Schutzprogrammen. Auf dem Rechner macht sich das u.a. wie folgt bemerkbar: Firefox/ IExplorer geben Fehlermeldungen beim schliessen, unaufgeforderte Taböffnung mit dubiosem Inhalt, teilweise starten Programme nicht, svchost.exe lastet cpu komplett aus etc ...

heutige avira scans:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 12. Oktober 2010 18:01

Es wird nach 2922663 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BIE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 09:07:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 08:12:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 15:02:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 08:29:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 05:35:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:57:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:07:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:07:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 07:59:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:22:12
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:22:21
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:22:35
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:26:33
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 11:26:33
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 11:26:33
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 11:26:33
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 11:26:33
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 11:26:34
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 11:20:58
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:21:31
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 11:51:59
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 10:36:38
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 10:36:40
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 20:50:17
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 11:15:05
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 10:23:49
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 14:55:51
VBASE023.VDF : 7.10.12.176 2048 Bytes 11.10.2010 14:55:52
VBASE024.VDF : 7.10.12.177 2048 Bytes 11.10.2010 14:55:52
VBASE025.VDF : 7.10.12.178 2048 Bytes 11.10.2010 14:55:52
VBASE026.VDF : 7.10.12.179 2048 Bytes 11.10.2010 14:55:52
VBASE027.VDF : 7.10.12.180 2048 Bytes 11.10.2010 14:55:52
VBASE028.VDF : 7.10.12.181 2048 Bytes 11.10.2010 14:55:52
VBASE029.VDF : 7.10.12.182 2048 Bytes 11.10.2010 14:55:53
VBASE030.VDF : 7.10.12.183 2048 Bytes 11.10.2010 14:55:53
VBASE031.VDF : 7.10.12.190 53248 Bytes 12.10.2010 14:55:53
Engineversion : 8.2.4.78
AEVDF.DLL : 8.1.2.1 106868 Bytes 11.08.2010 18:22:56
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18.09.2010 09:36:55
AESCN.DLL : 8.1.6.1 127347 Bytes 11.08.2010 18:22:54
AESBX.DLL : 8.1.3.1 254324 Bytes 11.08.2010 18:22:56
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 10:41:48
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 14:56:05
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 11.08.2010 18:22:51
AEHEUR.DLL : 8.1.2.33 2949496 Bytes 12.10.2010 14:56:03
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 14:55:56
AEGEN.DLL : 8.1.3.23 401779 Bytes 02.10.2010 20:50:20
AEEMU.DLL : 8.1.2.0 393588 Bytes 11.08.2010 18:22:46
AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:52:02
AEBB.DLL : 8.1.1.0 53618 Bytes 11.08.2010 18:22:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 08:29:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 08:29:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 13:17:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 09:05:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 09:09:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 08:52:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 06:23:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 09:27:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 12:08:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 11:10:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 09:40:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 10:44:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\sicherheit\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Dienstag, 12. Oktober 2010 18:01

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\winxp\system32\ntmsdata\ntmsjrnl
c:\WINXP\system32\NtmsData
[HINWEIS] Die Datei ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\Power\heuristics
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\programme\mozilla firefox\firefox.exe
c:\Programme\Mozilla Firefox\firefox.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\mozilla firefox\firefox.exe
c:\programme\mozilla firefox\firefox.exe
c:\programme\pdf\adobereader 933\reader\acrord32.exe
c:\Programme\PDF\AdobeReader 933\Reader\AcroRd32.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\pdf\adobereader 933\reader\acrord32.exe
c:\programme\pdf\adobereader 933\reader\acrord32.exe
c:\programme\pdf\adobereader 933\reader\acrord32.exe
c:\programme\rocketdock\rocketdock.exe
c:\Programme\RocketDock\RocketDock.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\igfxext.exe
c:\WINXP\system32\igfxext.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\igfxsrvc.exe
c:\WINXP\system32\igfxsrvc.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\bcmwltry.exe
c:\WINXP\system32\BCMWLTRY.EXE
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\svchost.exe
c:\WINXP\system32\svchost.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\wbem\wmiprvse.exe
c:\WINXP\system32\wbem\wmiprvse.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\wbem\wmiprvse.exe
c:\programme\gemeinsame dateien\apple\mobile device support\applemobiledeviceservice.exe
c:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\spoolsv.exe
c:\WINXP\system32\spoolsv.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\checkpoint\zaforcefield\iswsvc.exe
c:\Programme\CheckPoint\ZAForceField\ISWSVC.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\checkpoint\zaforcefield\forcefield.exe
c:\Programme\CheckPoint\ZAForceField\ForceField.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\pdf\adobereader 933\reader\reader_sl.exe
c:\Programme\PDF\AdobeReader 933\Reader\reader_sl.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\hp\hp software update\hpwuschd2.exe
c:\Programme\HP\HP Software Update\hpwuSchd2.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\wuauclt.exe
c:\WINXP\system32\wuauclt.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\winxp\system32\wuauclt.exe
c:\winxp\system32\hkcmd.exe
c:\WINXP\system32\hkcmd.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\java\jre6\bin\jusched.exe
c:\Programme\Java\jre6\bin\jusched.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\fheydbueyj.exe\cleansweepupd.exe
c:\fheydbueyj.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\fheydbueyj.exe\fheydbueyj.exe
c:\fheydbueyj.exe\fheydbueyj.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\mozilla firefox\plugin-container.exe
c:\Programme\Mozilla Firefox\plugin-container.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '193' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1650' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ny0P755n.exe.part
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'D:\' <ACERDATA>
Beginne mit der Suche in 'F:\' <Volume>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ny0P755n.exe.part
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461c0436.qua' verschoben!


Ende des Suchlaufs: Dienstag, 12. Oktober 2010 19:51
Benötigte Zeit: 1:27:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8686 Verzeichnisse wurden überprüft
370571 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
370570 Dateien ohne Befall
3329 Archive wurden durchsucht
0 Warnungen
1 Hinweise
237237 Objekte wurden beim Rootkitscan durchsucht
30 Versteckte Objekte wurden gefunden

bzw selbstständiger quickscan


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 12. Oktober 2010 18:40

Es wird nach 2922663 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BIE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 09:07:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 08:12:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 15:02:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 08:29:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 05:35:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:57:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:07:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:07:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 07:59:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:22:12
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:22:21
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:22:35
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:26:33
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 11:26:33
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 11:26:33
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 11:26:33
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 11:26:33
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 11:26:34
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 11:20:58
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:21:31
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 11:51:59
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 10:36:38
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 10:36:40
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 20:50:17
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 11:15:05
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 10:23:49
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 14:55:51
VBASE023.VDF : 7.10.12.176 2048 Bytes 11.10.2010 14:55:52
VBASE024.VDF : 7.10.12.177 2048 Bytes 11.10.2010 14:55:52
VBASE025.VDF : 7.10.12.178 2048 Bytes 11.10.2010 14:55:52
VBASE026.VDF : 7.10.12.179 2048 Bytes 11.10.2010 14:55:52
VBASE027.VDF : 7.10.12.180 2048 Bytes 11.10.2010 14:55:52
VBASE028.VDF : 7.10.12.181 2048 Bytes 11.10.2010 14:55:52
VBASE029.VDF : 7.10.12.182 2048 Bytes 11.10.2010 14:55:53
VBASE030.VDF : 7.10.12.183 2048 Bytes 11.10.2010 14:55:53
VBASE031.VDF : 7.10.12.190 53248 Bytes 12.10.2010 14:55:53
Engineversion : 8.2.4.78
AEVDF.DLL : 8.1.2.1 106868 Bytes 11.08.2010 18:22:56
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18.09.2010 09:36:55
AESCN.DLL : 8.1.6.1 127347 Bytes 11.08.2010 18:22:54
AESBX.DLL : 8.1.3.1 254324 Bytes 11.08.2010 18:22:56
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 10:41:48
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 14:56:05
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 11.08.2010 18:22:51
AEHEUR.DLL : 8.1.2.33 2949496 Bytes 12.10.2010 14:56:03
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 14:55:56
AEGEN.DLL : 8.1.3.23 401779 Bytes 02.10.2010 20:50:20
AEEMU.DLL : 8.1.2.0 393588 Bytes 11.08.2010 18:22:46
AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:52:02
AEBB.DLL : 8.1.1.0 53618 Bytes 11.08.2010 18:22:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 08:29:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 08:29:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 13:17:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 09:05:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 09:09:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 08:52:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 06:23:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 09:27:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 12:08:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 11:10:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 09:40:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 10:44:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4cf2e9d2\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Dienstag, 12. Oktober 2010 18:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'F:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP45\A0008392.exe'
F:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP45\A0008392.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Delf.O.37
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e612e8c.qua' verschoben!


Ende des Suchlaufs: Dienstag, 12. Oktober 2010 18:41
Benötigte Zeit: 01:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
45 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
44 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Malwarebytes scan:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4801

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.10.2010 18:48:57
mbam-log-2010-10-12 (18-48-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 194691
Laufzeit: 1 Stunde(n), 53 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\fheydbueyj.exe\fheydbueyj.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP3\A0001701.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP5\A0001749.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Zudem habe ich die geforderten Programme durchlaufen lassen - logfiles im Anhang.

Alt 15.10.2010, 21:26   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Hallo und

Zitat:
C:\Programme\ZoneAlarm-Sicherheit
ZA ist sinnfrei bis kontrproduktiv. Ich würde es deinstallieren und die Windows-Firewall aktivieren.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [fheydbueyj.exe] C:\fheydbueyj.exe\fheydbueyj.exe File not found
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\VDLL.DLL
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\System32\runouce.exe
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\rundll16.exe
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\RUNDL132.EXE
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\logo1_.exe
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\logo_1.exe
[2010.09.28 19:34:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Ihiqy
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________

__________________

Alt 16.10.2010, 12:22   #3
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Danke für die Antwort.
Habe jetzt ZA deinstalliert und die Windows Firewall aktiviert. BTW braucht die updates oder zieht die sich selbst welche?
Habe dann OTL geöffnet, den Text ins Fenster kopiert. Danach hat der Rechner irgendwas gemacht und nach nem Neustart verlangt. Nachm hochfahren, kam dann die folgende Logfile:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\fheydbueyj.exe deleted successfully.
C:\WINXP\VDLL.DLL folder moved successfully.
C:\WINXP\System32\runouce.exe folder moved successfully.
C:\WINXP\rundll16.exe folder moved successfully.
C:\WINXP\RUNDL132.EXE folder moved successfully.
C:\WINXP\logo1_.exe folder moved successfully.
C:\WINXP\logo_1.exe folder moved successfully.
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Ihiqy folder moved successfully.
========== COMMANDS ==========
C:\WINXP\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 1063608 bytes
->Temporary Internet Files folder emptied: 1103879 bytes

User: NetworkService
->Temp folder emptied: 1063608 bytes
->Temporary Internet Files folder emptied: 3027859 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Stefan
->Temp folder emptied: 14690665 bytes
->Temporary Internet Files folder emptied: 5722219 bytes
->Java cache emptied: 21904 bytes
->FireFox cache emptied: 47900593 bytes
->Flash cache emptied: 2875 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 151074 bytes
RecycleBin emptied: 24036 bytes

Total Files Cleaned = 71,00 mb


OTL by OldTimer - Version 3.2.15.1 log created on 10162010_121524

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\404[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\tags[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\tags[2].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\tags[3].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\iframe3[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\nolink[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\search[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\search[2].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPYZDT6C\search[1].htm moved successfully.

Registry entries deleted on Reboot...

hoffe ich habe bis hierhin alles richtig befolgt ...
__________________

Alt 16.10.2010, 21:41   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.10.2010, 23:23   #5
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-16.04 - Stefan 17.10.2010  23:07:01.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.235 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\z.xml
C:\fheydbueyj.exe
c:\fheydbueyj.exe\config.bin
c:\winxp\regedit.com
c:\winxp\system\dwm.exe
c:\winxp\system32\taskmgr.com

Infizierte Kopie von c:\winxp\system32\drivers\kbdclass.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DARKNESS


(((((((((((((((((((((((   Dateien erstellt von 2010-09-17 bis 2010-10-17  ))))))))))))))))))))))))))))))
.

2010-10-17 20:53 . 2010-10-17 20:53	49152	---ha-w-	c:\winxp\system32\bootuery.dll
2010-10-17 20:47 . 2010-10-17 20:47	--------	d-----w-	c:\programme\CCleaner
2010-10-16 10:15 . 2010-10-16 10:15	--------	d-----w-	C:\_OTL
2010-10-16 10:03 . 2010-10-16 10:03	--------	d-----w-	c:\winxp\Internet Logs
2010-10-12 18:40 . 2010-10-12 18:43	--------	d-----w-	c:\programme\ERUNT
2010-10-10 20:11 . 2010-10-10 20:11	--------	d-----w-	c:\programme\Veetle
2010-10-10 09:22 . 2010-10-10 09:23	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 09:58 . 2010-10-07 09:58	--------	d-----w-	c:\dokumente und einstellungen\Stefan\WINDOWS
2010-10-07 09:58 . 2010-10-07 09:58	--------	d-----w-	C:\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-05 10:28 . 2010-10-05 10:28	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-01 18:49 . 2010-10-01 18:49	632064	----a-w-	c:\winxp\system32\msvcr80.dll
2010-10-01 18:49 . 2010-10-01 18:49	554240	----a-w-	c:\winxp\system32\msvcp80.dll
2010-10-01 18:49 . 2010-10-01 18:49	34048	----a-w-	c:\winxp\system32\eEmpty.exe
2010-10-01 18:49 . 2008-04-14 12:00	153600	----a-w-	c:\winxp\R.COM
2010-10-01 18:49 . 2008-04-14 12:00	140800	----a-w-	c:\winxp\system32\T.COM
2010-10-01 18:49 . 2010-10-01 18:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2010-10-01 18:49 . 2010-10-01 18:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-30 10:09 . 2010-09-30 10:09	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:20	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Temp
2010-09-29 14:19 . 2010-09-29 14:19	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:26	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:22	--------	d-----w-	c:\programme\Google
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-09-28 18:59 . 2010-09-28 18:59	--------	d-----w-	c:\winxp\system32\TVUAx
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-25 21:42 . 2010-09-29 12:24	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-09-25 21:42 . 2010-09-29 10:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 19:51 . 2010-09-29 10:11	554216	----a-w-	c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\Plugins\nppdf32.dll
2010-09-19 20:33 . 2010-09-19 20:33	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Anwendungsdaten\StreamTorrent
2010-09-19 20:33 . 2010-09-19 20:33	--------	d-----w-	c:\programme\StreamTorrent 1.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-09-30 19:40	2735200	----a-w-	c:\programme\DVDVideoSoft\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-10 149280]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2006-03-23 118784]
"QuickTime Task"="c:\programme\Media\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\Media\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"Broadcom Wireless Manager UI"="c:\winxp\system32\WLTRAY.exe" [2005-11-11 1236992]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [10.08.2010 13:03 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.09.2010 16:19 136176]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNMp50.sys [28.11.2006 20:16 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNSp50.sys [28.11.2006 20:16 27072]
.
Inhalt des "geplante Tasks" Ordners

2010-08-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:20]

2010-10-17 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]

2010-10-17 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Media\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\PDF\AdobeReader 933\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\winxp\system32\TVUAx\npTVUAx.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-RTHDCPL - RTHDCPL.EXE
HKU-Default-Run-fheydbueyj.exe - c:\fheydbueyj.exe\fheydbueyj.exe
Notify-krambst - (no file)
AddRemove-{D1AE6D4D-C37A-487d-83D8-C333125B2459} - c:\programme\HP\Digital Imaging\{D1AE6D4D-C37A-487d-83D8-C333125B2459}\setup\hpzscr01.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\winxp\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(3404)
c:\programme\RocketDock\RocketDock.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\System32\WLTRYSVC.EXE
c:\winxp\System32\bcmwltry.exe
c:\programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sicherheit\Avira\AntiVir Desktop\avshadow.exe
c:\winxp\system32\HPZipm12.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\wbem\wmiapsrv.exe
c:\winxp\system32\igfxext.exe
c:\winxp\system32\igfxsrvc.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-17  23:17:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-17 21:17

Vor Suchlauf: 8 Verzeichnis(se), 20.968.120.320 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20.891.004.928 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - D36B667D52B4B80D161CAED8D2DBF0E9
         
--- --- ---

Allerdings gab es ein kleines Problem als combofix den ersten Neustart verlangt hat. Das habe ich bestätigt und gewartet und gewartet ... Nur wollte der Laptop nicht runterfahren. Hab ihn dann über den Powerknopf ausgeschaltet und wieder hochgefahren. Danach hat combofix weitergearbeitet.
Wollte ich nur anmerken. Keine Ahnung, ob es relevant ist.


Alt 18.10.2010, 09:48   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
FCopy::
c:\winxp\system32\dllcache\sfcfiles.dll | c:\winxp\system32\sfcfiles.dll

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden

Alt 18.10.2010, 18:21   #7
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Hier die Logdatei. Combofix hat allerdings nicht nach einem Neustart verlangt, lediglich nach einem Update.
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-17.04 - Stefan 18.10.2010  18:11:35.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.165 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Stefan\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-18 bis 2010-10-18  ))))))))))))))))))))))))))))))
.

2010-10-17 20:56 . 2010-10-17 21:17	--------	d-----w-	C:\cofi
2010-10-17 20:53 . 2010-10-17 20:53	49152	---ha-w-	c:\winxp\system32\bootuery.dll
2010-10-17 20:47 . 2010-10-17 20:47	--------	d-----w-	c:\programme\CCleaner
2010-10-16 10:15 . 2010-10-16 10:15	--------	d-----w-	C:\_OTL
2010-10-16 10:03 . 2010-10-16 10:03	--------	d-----w-	c:\winxp\Internet Logs
2010-10-12 18:40 . 2010-10-12 18:43	--------	d-----w-	c:\programme\ERUNT
2010-10-10 20:11 . 2010-10-10 20:11	--------	d-----w-	c:\programme\Veetle
2010-10-10 09:22 . 2010-10-10 09:23	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 09:58 . 2010-10-07 09:58	--------	d-----w-	c:\dokumente und einstellungen\Stefan\WINDOWS
2010-10-07 09:58 . 2010-10-07 09:58	--------	d-----w-	C:\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-05 10:28 . 2010-10-05 10:28	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-01 18:49 . 2010-10-01 18:49	632064	----a-w-	c:\winxp\system32\msvcr80.dll
2010-10-01 18:49 . 2010-10-01 18:49	554240	----a-w-	c:\winxp\system32\msvcp80.dll
2010-10-01 18:49 . 2010-10-01 18:49	34048	----a-w-	c:\winxp\system32\eEmpty.exe
2010-10-01 18:49 . 2008-04-14 12:00	153600	----a-w-	c:\winxp\R.COM
2010-10-01 18:49 . 2008-04-14 12:00	140800	----a-w-	c:\winxp\system32\T.COM
2010-10-01 18:49 . 2010-10-01 18:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2010-10-01 18:49 . 2010-10-01 18:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-30 10:09 . 2010-09-30 10:09	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:20	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Temp
2010-09-29 14:19 . 2010-09-29 14:19	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:26	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:22	--------	d-----w-	c:\programme\Google
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-09-28 18:59 . 2010-09-28 18:59	--------	d-----w-	c:\winxp\system32\TVUAx
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-25 21:42 . 2010-09-29 12:24	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-09-25 21:42 . 2010-09-29 10:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 19:51 . 2010-09-29 10:11	554216	----a-w-	c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\Plugins\nppdf32.dll
2010-09-19 20:33 . 2010-09-19 20:33	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Anwendungsdaten\StreamTorrent
2010-09-19 20:33 . 2010-09-19 20:33	--------	d-----w-	c:\programme\StreamTorrent 1.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((   SnapShot@2010-10-17_21.13.29   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-18 16:00 . 2010-10-18 16:00	16384              c:\winxp\Temp\Perflib_Perfdata_110.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-09-30 19:40	2735200	----a-w-	c:\programme\DVDVideoSoft\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-10 149280]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2006-03-23 118784]
"QuickTime Task"="c:\programme\Media\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\Media\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"Broadcom Wireless Manager UI"="c:\winxp\system32\WLTRAY.exe" [2005-11-11 1236992]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\StreamTorrent 1.0\\StreamTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [10.08.2010 13:03 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.09.2010 16:19 136176]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNMp50.sys [28.11.2006 20:16 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNSp50.sys [28.11.2006 20:16 27072]
.
Inhalt des "geplante Tasks" Ordners

2010-08-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:20]

2010-10-18 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]

2010-10-17 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Media\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\PDF\AdobeReader 933\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\winxp\system32\TVUAx\npTVUAx.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\winxp\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(596)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-10-18  18:18:28
ComboFix-quarantined-files.txt  2010-10-18 16:18
ComboFix2.txt  2010-10-17 21:17

Vor Suchlauf: 10 Verzeichnis(se), 20.839.899.136 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 20.831.436.800 Bytes frei

- - End Of File - - 6A05E7438DE06459583E88EA3ABB6B09
         
--- --- ---

Alt 18.10.2010, 19:42   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Hat nicht ganz geklappt.

Schau mal hier => File-Upload.net - sfcfiles.dll.zip

Da hab ich mal "meine" sfcfiles.dll hochgeladen. Lad sie Dir runter und entpack sie direkt nach, sodass "meine" sfcfiles.dll (nicht die ZIP-Datei!!) direkt auch C: liegt. Danach müssen wir mal wieder scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
FCopy::
c:\sfcfiles.dll | c:\winxp\system32\sfcfiles.dll
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 20:18   #9
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Wieder wurde kein Neustart verlangt ...
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-17.04 - Stefan 18.10.2010  20:10:04.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.192 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Stefan\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\sfcfiles.dll --> c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-18 bis 2010-10-18  ))))))))))))))))))))))))))))))
.

2010-10-18 18:02 . 2008-04-14 06:52	1571840	------w-	C:\sfcfiles.dll
2010-10-17 20:56 . 2010-10-17 21:17	--------	d-----w-	C:\cofi
2010-10-17 20:53 . 2010-10-17 20:53	49152	---ha-w-	c:\winxp\system32\bootuery.dll
2010-10-17 20:47 . 2010-10-17 20:47	--------	d-----w-	c:\programme\CCleaner
2010-10-16 10:15 . 2010-10-16 10:15	--------	d-----w-	C:\_OTL
2010-10-16 10:03 . 2010-10-16 10:03	--------	d-----w-	c:\winxp\Internet Logs
2010-10-12 18:40 . 2010-10-12 18:43	--------	d-----w-	c:\programme\ERUNT
2010-10-10 20:11 . 2010-10-10 20:11	--------	d-----w-	c:\programme\Veetle
2010-10-10 09:22 . 2010-10-10 09:23	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 09:58 . 2010-10-07 09:58	--------	d-----w-	c:\dokumente und einstellungen\Stefan\WINDOWS
2010-10-07 09:58 . 2010-10-07 09:58	--------	d-----w-	C:\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-05 10:28 . 2010-10-05 10:28	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-01 18:49 . 2010-10-01 18:49	632064	----a-w-	c:\winxp\system32\msvcr80.dll
2010-10-01 18:49 . 2010-10-01 18:49	554240	----a-w-	c:\winxp\system32\msvcp80.dll
2010-10-01 18:49 . 2010-10-01 18:49	34048	----a-w-	c:\winxp\system32\eEmpty.exe
2010-10-01 18:49 . 2008-04-14 12:00	153600	----a-w-	c:\winxp\R.COM
2010-10-01 18:49 . 2008-04-14 12:00	140800	----a-w-	c:\winxp\system32\T.COM
2010-10-01 18:49 . 2010-10-01 18:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2010-10-01 18:49 . 2010-10-01 18:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-30 10:09 . 2010-09-30 10:09	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:20	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Temp
2010-09-29 14:19 . 2010-09-29 14:19	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:26	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:22	--------	d-----w-	c:\programme\Google
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-09-28 18:59 . 2010-09-28 18:59	--------	d-----w-	c:\winxp\system32\TVUAx
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2010-09-25 23:30 . 2010-09-25 23:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-25 21:42 . 2010-10-18 18:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 21:42 . 2010-09-29 12:24	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-09-25 19:51 . 2010-09-29 10:11	554216	----a-w-	c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\Plugins\nppdf32.dll
2010-09-19 20:33 . 2010-09-19 20:33	--------	d-----w-	c:\dokumente und einstellungen\Stefan\Anwendungsdaten\StreamTorrent
2010-09-19 20:33 . 2010-09-19 20:33	--------	d-----w-	c:\programme\StreamTorrent 1.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-17_21.13.29   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-18 16:00 . 2010-10-18 16:00	16384              c:\winxp\Temp\Perflib_Perfdata_110.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-09-30 19:40	2735200	----a-w-	c:\programme\DVDVideoSoft\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-10 149280]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2006-03-23 118784]
"QuickTime Task"="c:\programme\Media\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\Media\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"Broadcom Wireless Manager UI"="c:\winxp\system32\WLTRAY.exe" [2005-11-11 1236992]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\StreamTorrent 1.0\\StreamTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [10.08.2010 13:03 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.09.2010 16:19 136176]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNMp50.sys [28.11.2006 20:16 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNSp50.sys [28.11.2006 20:16 27072]
.
Inhalt des "geplante Tasks" Ordners

2010-08-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:20]

2010-10-18 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]

2010-10-18 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Media\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\PDF\AdobeReader 933\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\winxp\system32\TVUAx\npTVUAx.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\winxp\System32\BCMLogon.dll
c:\winxp\system32\igfxdev.dll

- - - - - - - > 'explorer.exe'(2572)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-10-18  20:16:08
ComboFix-quarantined-files.txt  2010-10-18 18:16
ComboFix2.txt  2010-10-18 16:18
ComboFix3.txt  2010-10-17 21:17

Vor Suchlauf: 11 Verzeichnis(se), 20.824.899.584 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 20.811.730.944 Bytes frei

- - End Of File - - CDFB6A0FA5FA045E6CB8459939D6735C
         
--- --- ---

Alt 18.10.2010, 20:20   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Ist schon so Ok
Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 21:07   #11
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-10-18 20:53:49
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Stefan\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            F8B86026                                                                                    ZwCreateKey
SSDT            F8B8601C                                                                                    ZwCreateThread
SSDT            F8B8602B                                                                                    ZwDeleteKey
SSDT            F8B86035                                                                                    ZwDeleteValueKey
SSDT            F8B8603A                                                                                    ZwLoadKey
SSDT            F8B86008                                                                                    ZwOpenProcess
SSDT            F8B8600D                                                                                    ZwOpenThread
SSDT            F8B86044                                                                                    ZwReplaceKey
SSDT            F8B8603F                                                                                    ZwRestoreKey
SSDT            F8B86030                                                                                    ZwSetValueKey

Code            \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys                                            pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINXP\system32\Drivers\PROCEXP113.SYS                                                    Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys                                                Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\Stefan\LOKALE~1\Temp\mbr.sys                                                    Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\explorer.exe [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 21:03:27 on 18.10.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16705

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BCMWLCPL.CPL" - "Broadcom Corporation" - C:\WINXP\system32\BCMWLCPL.CPL
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINXP\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\SICHER~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\Media\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINXP\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINXP\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINXP\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINXP\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINXP\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINXP\system32\drivers\PDFRAME.sys  (File not found)
"PDNMp50 NDIS Protocol Driver" (PDNMp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINXP\system32\drivers\PDNMp50.sys
"PDNSp50 NDIS Protocol Driver" (PDNSp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINXP\system32\drivers\PDNSp50.sys
"PDRELI" (PDRELI) - ? - C:\WINXP\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINXP\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINXP\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\Media\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Development Company, L.P." - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe  (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Rainlendar2" - ? - C:\Programme\Rainlendar2\Rainlendar2.exe
"RocketDock" - ? - "C:\Programme\RocketDock\RocketDock.exe"  (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\PDF\AdobeReader 933\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" /min
"AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\InstallShield\AzMixerSel.exe
"Broadcom Wireless Manager UI" - "Broadcom Corporation" - C:\WINXP\system32\WLTRAY.exe
"HP Software Update" - "Hewlett-Packard Development Company, L.P." - C:\Programme\HP\HP Software Update\HPWuSchd2.exe
"iTunesHelper" - "Apple Inc." - "C:\Programme\Media\iTunes\iTunesHelper.exe"
"LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\LManager.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\Media\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Broadcom 802.11 Network Adapter Logon Provider" - "Broadcom Corporation" - C:\WINXP\System32\BCMLogon.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"eDocPortMonitor" - "May Software" - C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDocPort.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe
"Broadcom Wireless LAN Tray Service" (wltrysvc) - ? - C:\WINXP\System32\WLTRYSVC.EXE  (File found, but it contains no detailed information)
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINXP\system32\HPZipm12.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINXP\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 129):
0x804D7000 \WINXP\system32\ntkrnlpa.exe
0x806D0000 \WINXP\system32\hal.dll
0xF8975000 \WINXP\system32\KDCOM.DLL
0xF8885000 \WINXP\system32\BOOTVID.dll
0xF8345000 ACPI.sys
0xF8977000 \WINXP\system32\DRIVERS\WMILIB.SYS
0xF8334000 pci.sys
0xF8475000 isapnp.sys
0xF8889000 compbatt.sys
0xF888D000 \WINXP\system32\DRIVERS\BATTC.SYS
0xF8A3D000 pciide.sys
0xF86F5000 \WINXP\system32\DRIVERS\PCIIDEX.SYS
0xF8316000 pcmcia.sys
0xF8485000 MountMgr.sys
0xF82F7000 ftdisk.sys
0xF8979000 dmload.sys
0xF82D1000 dmio.sys
0xF8891000 ACPIEC.sys
0xF8A3E000 \WINXP\system32\DRIVERS\OPRGHDLR.SYS
0xF86FD000 PartMgr.sys
0xF8495000 VolSnap.sys
0xF82B9000 atapi.sys
0xF84A5000 disk.sys
0xF84B5000 \WINXP\system32\DRIVERS\CLASSPNP.SYS
0xF8299000 fltMgr.sys
0xF8287000 sr.sys
0xF8270000 KSecDD.sys
0xF81E3000 Ntfs.sys
0xF81B6000 NDIS.sys
0xF819C000 Mup.sys
0xF85C5000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF8939000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF8026000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF8012000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7FEA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF876D000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7FC6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF8775000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF85D5000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys
0xF85E5000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
0xF7FB2000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xF7F9F000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
0xF85F5000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
0xF893D000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF8605000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF877D000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0xF8785000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF878D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8615000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8625000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF8635000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7F7C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF8795000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF8BB0000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF8645000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF8945000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7F65000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF8655000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF8665000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF879D000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7F54000 \SystemRoot\system32\DRIVERS\psched.sys
0xF8675000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF87AD000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF87B5000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7EFC000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF8685000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8991000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7E9E000 \SystemRoot\system32\DRIVERS\update.sys
0xF8961000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF8695000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAAB7E000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAAB5A000 \SystemRoot\system32\drivers\portcls.sys
0xF86D5000 \SystemRoot\system32\drivers\drmk.sys
0xAAB24000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAAA30000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xAA97F000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF87C5000 \SystemRoot\System32\Drivers\Modem.SYS
0xF86E5000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF899F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF89C9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8A81000 \SystemRoot\System32\Drivers\Null.SYS
0xF89CB000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8805000 \SystemRoot\System32\drivers\vga.sys
0xF89CD000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF89CF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF880D000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8815000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8929000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA94C000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA8F3000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAA8CB000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAA8A9000 \SystemRoot\System32\drivers\afd.sys
0xF84D5000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF881D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAA87E000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAA7E6000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF84E5000 \SystemRoot\System32\Drivers\Fips.SYS
0xAA7C0000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAA79E000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF89D3000 \??\C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgio.sys
0xAA77A000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF8835000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7E9A000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF8515000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF883D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7E96000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAA73A000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF89E1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7E7A000 \SystemRoot\System32\drivers\Dxapi.sys
0xF8845000 \SystemRoot\System32\watchdog.sys
0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
0xF8AD9000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9E4000 \SystemRoot\System32\ialmdnt5.dll
0xBF9D5000 \SystemRoot\System32\ialmrnt5.dll
0xBFA06000 \SystemRoot\System32\ialmdev5.DLL
0xBFA41000 \SystemRoot\System32\ialmdd5.DLL
0xF8575000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAA60D000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAA632000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAA298000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAA294000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xAA0B6000 \SystemRoot\system32\DRIVERS\srv.sys
0xA9FD9000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7E66000 \SystemRoot\system32\drivers\sysaudio.sys
0xA9FEE000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA9C02000 \SystemRoot\System32\Drivers\HTTP.sys
0xA9787000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0x7C910000 \WINXP\system32\ntdll.dll

Processes (total 44):
0 System Idle Process
4 System
396 C:\WINXP\system32\smss.exe
456 csrss.exe
480 C:\WINXP\system32\winlogon.exe
684 C:\WINXP\system32\services.exe
696 C:\WINXP\system32\lsass.exe
860 C:\WINXP\system32\svchost.exe
936 svchost.exe
976 C:\WINXP\system32\svchost.exe
1044 svchost.exe
1100 svchost.exe
1292 C:\WINXP\system32\WLTRYSVC.EXE
1304 C:\WINXP\system32\BCMWLTRY.EXE
1404 C:\WINXP\explorer.exe
1428 C:\WINXP\system32\spoolsv.exe
1516 C:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe
1644 C:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe
1656 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1672 C:\Programme\Bonjour\mDNSResponder.exe
1748 C:\Programme\Java\jre6\bin\jqs.exe
1800 C:\WINXP\system32\HPZipm12.exe
1892 C:\Programme\Sicherheit\Avira\AntiVir Desktop\avshadow.exe
496 C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe
516 C:\PROGRA~1\LAUNCH~1\LManager.exe
556 C:\Programme\Java\jre6\bin\jusched.exe
564 C:\WINXP\system32\igfxtray.exe
612 C:\WINXP\system32\hkcmd.exe
648 C:\WINXP\system32\igfxpers.exe
1072 C:\Programme\Media\iTunes\iTunesHelper.exe
1088 C:\WINXP\system32\WLTRAY.EXE
1096 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
1244 C:\Programme\Rainlendar2\Rainlendar2.exe
1528 C:\Programme\RocketDock\RocketDock.exe
2136 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
2276 alg.exe
2396 C:\WINXP\system32\igfxext.exe
2432 C:\WINXP\system32\igfxsrvc.exe
2548 C:\WINXP\system32\wbem\wmiapsrv.exe
2688 wmiprvse.exe
2848 C:\Programme\iPod\bin\iPodService.exe
2940 C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
3024 C:\WINXP\system32\ctfmon.exe
2260 C:\Dokumente und Einstellungen\Stefan\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`89313e00 (FAT32)

PhysicalDrive0 Model Number: HTS541060G9AT00, Rev: MB3OA60A

Size Device Name MBR Status
--------------------------------------------
55 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 18.10.2010, 21:23   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 21:47   #13
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Lasse gerade Malwarebaytes durchlaufen. Bisher wurde noch kein Fehler gefunden. Allerdings meldet mir Avira gerade einen Malwarefund:
In der Datei 'C:\Qoobox\Quarantine\C\WINXP\system\dwm.exe.vir' wurde ein Virus oder unerwünschtes Programm 'TR\Crypt.XPACK.Gen3' gefunden.
Der Zugriff auf diese Datei wurde verweigert.
Bitte wählen Sie die weitere Aktion: Entfernen oder Details
???

Alt 18.10.2010, 21:48   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Qoobox ist der Quarantäneordner von CF, CF hat da die bösen Dateien als Sicherheitskopien abgelegt. Ist schon klar, dass AntiVir dadrin was finden kann, das ist aber nicht schlimm, weil die Schädlinge dort isoliert sind und somit keinen Schaden mehr anrichten können.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 22:02   #15
sanfran
 
Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Standard

Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden



Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4875

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18.10.2010 22:01:29
mbam-log-2010-10-18 (22-01-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 170485
Laufzeit: 33 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

superantispyware starte ich jetzt

Antwort

Themen zu Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden
.dll, 0 bytes, antivir, avg, avira, checkpoint, cpu, desktop, dllhost.exe, dr/delf.o.37, einstellungen, fheydbueyj.exe, infizierte, malwarebytes, modul, mozilla, nt.dll, pdf, prozess, prozesse, registry, services.exe, sicherheit, software, spyware.passwords.xgen, starten, svchost.exe, system volume information, tr/dropper.gen, versteckte objekte, verweise, virus gefunden, windows, winlogon.exe



Ähnliche Themen: Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden


  1. Infektion mit spyware.passwords.ed (Scan mit malware bytes)
    Plagegeister aller Art und deren Bekämpfung - 19.01.2015 (15)
  2. Spyware.Passwords.XGen gefunden - gefährlich oder nicht?
    Log-Analyse und Auswertung - 13.06.2013 (20)
  3. Spyware.Passwords mal 2
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  4. Malwarebytes findet Spyware.Passwords / 2 infizierte Registrierungsschlüssel
    Log-Analyse und Auswertung - 06.03.2012 (15)
  5. Hilfe, Spyware.Passwords.XGen
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (3)
  6. Adware.Zwunzi, Trojan.SpyEyes, Spyware.Passwords.XGen
    Plagegeister aller Art und deren Bekämpfung - 02.04.2011 (41)
  7. Spyware.Passwords.XGen + AntiVir startet nicht
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (22)
  8. Trojan.SpyEyes.WC, Spyware.Passwords.XGen wirklich eliminiert?
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (5)
  9. Spyware.Passwords.XGen wurde durch Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.12.2010 (2)
  10. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  11. Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (50)
  12. Spyware.Passwords.XGen, Trojan.Dropper.PGen, Packer.Suspicious, JAVA/Agent.2212
    Plagegeister aller Art und deren Bekämpfung - 05.12.2010 (3)
  13. spyware.passwords.xgen
    Antiviren-, Firewall- und andere Schutzprogramme - 25.11.2010 (0)
  14. AVG findet Dropper.Delf.AJA
    Log-Analyse und Auswertung - 10.03.2008 (11)
  15. HELP - trojan-dropper.win32.delf
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (7)
  16. Dropper.Delf.3.L
    Log-Analyse und Auswertung - 28.12.2004 (5)
  17. Trojaner Dropper.Delf.3.L
    Plagegeister aller Art und deren Bekämpfung - 28.12.2004 (11)

Zum Thema Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden - Antivir und Malwarebytes haben mir heute von oben genannten Fehlermeldungen bzw infizierten Dateien berichtet. Nun bin ich kein Computerexperte und würde jede Hilfe gern annehmen. Zudem gibt es in letzter - Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden...
Archiv
Du betrachtest: Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.