Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.12.2010, 01:36   #1
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Habe die vom Forum geforderten Schritte ausgeführt und die Suchprotokolle unten angefügt bzw. als Anhang beigefügt. Das hier ist jetzt mein zweiter Versuch, beim ersten Mal hat mir leider keiner geantwortet. Warum weiß ich leider nicht, vielleicht weil mein Beitrag zu lang war? Habe deshalb dieses Mal auch die Suchprotokolle von Antivir und Malwarebytes weggelassen. Hier mein Problem:

- nach Hochfahren: PC fährt sich selber wieder herunter und es taucht kurz ein schwarzes Feld auf mit der Überschrift auf der Leiste C: //WINDOWS/system 23 oder vielleicht auch …system 32. Danach kommt die Meldung: Das Herunterfahren des Systems wird von COMPUTERNAME/benutzername ausgelöst. Meistens konnte ich es jedoch verhindern.
Ich meine, dass diese Meldung immer nur auftaucht wenn ich mit dem Internet verbunden bin!!

Wie und wann ist das Problem zum ersten Mal in Erscheinung getreten?

- 1. Mal (vor ca. zwei Wochen): surfte im Netz, das Antivir Suchprogramm lief und es wurden Viren gefunden, danach verschwand für kurze Zeit das Desktop und der PC wurde sehr langsam, danach hat sich der PC ausgeschalten (s.o.).
Habe ihn dann wieder angeschalten und seitdem bringt er nach dem Hochfahren (bootet normal) diese Meldung. Wie gesagt habe ich die Vermutung dass das immer kommt, wenn ich Internetzugang habe. Sonst läuft der PC normal, funktioniert alles, ist auch nicht merklich langsamer als zuvor.
- Habe dann auch Viren gefunden an den nachfolgenden Tagen (Antivir). An einem Tag hat Antivir sogar 16 Viren gefunden, Malwarebytes später noch am gleichen Tag 13. Es wurden jeweils die beiden Viren TR/Riner und Exploit EXP/CVE in verschiedenen Versionen gefunden:

[FUND] Ist das Trojanische Pferd TR/Riner.adi
C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP324\A0931578.exe
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC
--> vmain.class
...
Ich poste die beiden Suchprotokolle nicht, da sonst der Beitrag wieder zu lange wird. Leider weiß ich nicht wie ich die anhängen kann.
- Wie gesagt habe ich die vom Forum geforderten Schritte ausgeführt. Es lief alles glatt, nur gmer.exe hat nicht funktioniert. Der PC ist jedes Mal beim Suchlauf bei der Datei

Type: Reg Name: HKLM/SOFTWARE/Classes/CLSID/{B6A930A0-A4F5-43A5-9B4… Value: 71230

hängengeblieben.

- Ich habe gestern die letzten beiden Schritte durchgeführt (5 u 6). Davor hatte ich den PC eine Woche lang nicht mehr benutzt. Der PC war zum ersten Mal sehr langsam und Malwarebytes brauchte zum Beispiel für den Quickscan ca. zwei Stunden, Antivir drei Stunden.
Zudem habe ich heute bemerkt, dass nach dem Hochfahren zuerst alles normal läuft und sich die Programme normal hochfahren. Aber dann verschwinden auf einmal die Taskleiste usw. und es ist nur noch der Bildhintergrund (für bis zu einer Minute ?!) zu sehen. Danach kommen die Programme vom Desktop und die Taskleiste usw. wieder zurück. Es scheint so als würde sich der PC nach dem eigentlichen Hochfahren, nochmals hochfahren. Das Phänomen muss jetzt aber nicht gestern oder heute zum ersten Mal aufgetreten sein.
Noch eine weitere Beobachtung in den letzten zwei Wochen: Wenn ich keinen Internetzugang habe, taucht die Meldung auf: No connection to the Internet is currently available. To view Internet content that has been saved on your computer, click Work Offline…
Also diese Meldung kenne ich so auch nicht und kommt mir komisch vor.

Wie bewertet ihr die Suchprotokolle? Was nun? Wäre echt super wenn ihr mir weiterhelfen könntet
PS: Kenne mich am PC leider nicht sehr aus.















defogger_disable by jpshortstuff (23.02.10.1)
Log created at 00:53 on 28/11/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-












OTL Extras logfile created on: 04.12.2010 01:48:42 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502,00 Mb Total Physical Memory | 221,00 Mb Available Physical Memory | 44,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 62,85 Gb Total Space | 26,10 Gb Free Space | 41,53% Space Free | Partition Type: NTFS
Drive D: | 11,70 Gb Total Space | 4,37 Gb Free Space | 37,37% Space Free | Partition Type: FAT32

Computer Name: ****| User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"139:TCP" = 139:TCP:LocalSubNetisabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNetisabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNetisabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNetisabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found
"C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- File not found
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation)
"C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation)
"C:\Programme\InterVideo\DVD7\WinDVD.exe" = C:\Programme\InterVideo\DVD7\WinDVD.exe:*:enabled:WinDVD 7 -- (InterVideo Inc.)
"C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe" = C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe:*:enabled:MediaOne Gallery -- File not found
"C:\Programme\BullGuard Software\BullGuard\BullGuard.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuard.exe:*:enabled:BullGuard -- File not found
"C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe:*:enabled:BullGuard Update -- File not found

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found
"C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- File not found
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation)
"C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation)
"C:\Programme\InterVideo\DVD7\WinDVD.exe" = C:\Programme\InterVideo\DVD7\WinDVD.exe:*:enabled:WinDVD 7 -- (InterVideo Inc.)
"C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe" = C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe:*:enabled:MediaOne Gallery -- File not found
"C:\Programme\BullGuard Software\BullGuard\BullGuard.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuard.exe:*:enabled:BullGuard -- File not found
"C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe:*:enabled:BullGuard Update -- File not found
"C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe" = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe:*:Enabled:Kaspersky Anti-Virus Service -- File not found
"C:\Programme\Gemeinsame Dateien\aol\1220440601\ee\aolsoftware.exe" = C:\Programme\Gemeinsame Dateien\aol\1220440601\ee\aolsoftware.exe:*:Enabled:AOL Shared Components -- File not found
"C:\Programme\SopCast\adv\SopAdver.exe" = C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com)
"C:\Programme\SopCast\SopCast.exe" = C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*isabled:Firefox -- (Mozilla Corporation)
"C:\Programme\PPStream\PPStream.exe" = C:\Programme\PPStream\PPStream.exe:*:Enabled:PPSÍøÂçµçÊÓ -- File not found
"C:\Programme\PPStream\PPSAP.exe" = C:\Programme\PPStream\PPSAP.exe:*:Enabled:PPS ÍøÂç¼ÓËÙÆ÷ -- File not found
"C:\Programme\TVAnts\Tvants.exe" = C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts -- File not found
"C:\Programme\uusee\UUSeePlayer.exe" = C:\Programme\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer -- File not found
"C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe" = C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe:*:Enabled:MediaCenter -- File not found


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{0A2A5039-B37F-489D-B1DC-A5258DF9E697}" = FIFA 08
"{113FB2BA-2C64-4F35-8C7F-5B632677BC25}" = Windows Live Messenger
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 20
"{2792F12C-3515-4D69-8083-B557AF35F06F}" = LightScribe 1.4.89.1
"{31E1050B-F69F-4A16-8F5A-E44D31901250}" = Ulead DVD DiskRecorder 2.1.1
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D1A6B70-3E02-49BC-88B0-916C80274632}" = Informationen über Ihren PC
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{47D2103B-FD51-4017-9C20-DD408B17D726}" = Office 2003 Trial Assistant
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{871DF2BE-41D2-4334-AC33-839AF16FC8FE}" = Cisco Systems VPN Client 5.0.02.0090
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{90885A82-9673-49EA-AB39-AF776639C67C}" = InterVideo WinDVD 7
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{929408E6-D265-4174-805F-81D1D914E2A4}" = QuickTime
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A7661EF6-352F-D5A3-B913-B762230C1031}" = Nero 7 Essentials
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{B5FDA445-CAC4-4BA6-A8FB-A7212BD439DE}" = Microsoft XML Parser
"{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}" = Brother MFL-Pro Suite
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.3.0
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FAF88B432344413595BB2DED98385684}" = DivX User Guide
"1F811665-E818-4956-9173-35CD47C9DCE0" = Otto
"7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"AOL YGP Screensaver" = AOL Meine Fotos Bildschirmschoner
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Digitale Bibliothek" = Digitale Bibliothek
"Digitale Bibliothek 2.80" = Digitale Bibliothek 2.80
"DivX Content Uploader" = DivX Content Uploader
"DivX Setup.divx.com" = DivX-Setup
"ERUNT_is1" = ERUNT 1.1j
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"InstallShield_{929408E6-D265-4174-805F-81D1D914E2A4}" = QuickTime
"LetsTrade" = LetsTrade Komponenten
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.15)" = Mozilla Firefox (3.5.15)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"RealPlayer 6.0" = RealPlayer
"SMSERIAL" = Motorola SM56 Data Fax Modem
"SopCast" = SopCast 3.0.3
"StreetPlugin" = Learn2 Player (Uninstall Only)
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"The Unzip Wizard" = The Unzip Wizard
"ViewpointMediaPlayer" = Viewpoint Media Player
"VLC media player" = VLC media player 0.9.6
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Media Center Edition Screen Saver Screen Saver" = Windows XP Media Center Edition Screen Saver Screen Saver
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"uTorrent" = µTorrent

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 26.11.2010 11:13:04 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 26.11.2010 16:30:19 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 26.11.2010 16:37:41 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 26.11.2010 16:39:55 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 26.11.2010 16:42:25 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 26.11.2010 17:53:35 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 26.11.2010 17:55:49 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 27.11.2010 18:37:15 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 03.12.2010 15:48:52 | Computer Name = ****| Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.

Error - 03.12.2010 20:30:20 | Computer Name = ****| Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OTL.exe, Version 3.2.17.3, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

[ System Events ]
Error - 03.12.2010 21:11:46 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:48 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:50 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:51 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:53 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:55 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:57 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:11:58 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:12:00 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 03.12.2010 21:12:03 | Computer Name = ****| Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.


< End of report >

Alt 17.12.2010, 10:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 20.12.2010, 19:39   #3
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hallo,
erstmal danke für deine Antwort
Leider konnte ich am Wochenende nicht an den PC, deshalb antworte ich auch so spät.In den nächsten Tagen werde ich versuchen möglichst bald auf deine Posts zu antworten, ich hoffe doch du postest noch
Ich habe nun alle Logs gepostet die ich so habe. Sind aber alles nur quick scan logs. Den Log eines vollständigen Suchlaufs poste ich asap.
Was ich bisher vergessen habe zu erwähnen ist, dass der Ton an meinem PC verzerrt ist und auch Videos nicht ruckelfrei laufen. Das Ganze hat aber nicht schon seit dem Virenfund und den ganzen Problemen angefangen, sondern erst später. Könnte evtl. zur gleichen Zeit eingetreten sein als ich defogger.exe
ausgeführt habe und damit gewisse Treiber deaktiviert habe?!

Mir ist zudem aufgefallen, dass wenn ich Malwarebytes laufen lasse, mein PC sehr langsam wird. Zudem braucht das Programm derzeit länger als üblich.







Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5190

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.11.2010 02:29:08
mbam-log-2010-11-26 (02-29-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163121
Laufzeit: 23 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\A360.lnk (Rogue.AntiVirus360) -> Quarantined and deleted successfully.







Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5193

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.11.2010 16:46:12
mbam-log-2010-11-26 (16-46-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163682
Laufzeit: 24 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)







Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5193

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.11.2010 17:38:26
mbam-log-2010-11-26 (17-38-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163411
Laufzeit: 21 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)







Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5195

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.11.2010 02:04:13
mbam-log-2010-11-27 (02-04-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 229125
Laufzeit: 1 Stunde(n), 44 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UWG00OSS\yH3e9ee933V03009f35002Rd368c292102T7293e1e8Q000002c0901807F0016000aJ14000601l0007316P000001070[1] (Rogue.InternetSecurity210) -> Quarantined and deleted successfully.












Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5195

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.11.2010 00:43:20
mbam-log-2010-11-28 (00-43-20).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163675
Laufzeit: 17 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)






Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5241

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.12.2010 07:25:16
mbam-log-2010-12-04 (07-25-16).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151634
Laufzeit: 2 Stunde(n), 57 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)








Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5245

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.12.2010 23:39:52
mbam-log-2010-12-05 (23-39-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 211067
Laufzeit: 3 Stunde(n), 55 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)






Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5358

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

20.12.2010 00:03:53
mbam-log-2010-12-20 (00-03-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 153858
Laufzeit: 1 Stunde(n), 12 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 20.12.2010, 20:36   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 9666
O4 - HKCU..\Run: [Codecxml] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc\d3dbus.exe ()
:Files
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.12.2010, 23:07   #5
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hallo,

ich habe Malwarebytes durchlaufen lassen. Leider hat es ein wenig zu lange gedauert: 19 Stunden...
Und dabei ist das Programm nicht mal ganz durchgelaufen. Ich habe es dann abgebrochen, poste es aber trotzdem mal. Weil das nicht so geklappt hat wie erwünscht poste ich zudem meine beiden aktuellsten Antivir Suchprotokolle. Eines davon hat auch einen Trojaner entdeckt.

Ich habe ja bereits berichtet dass Mwb schon davor deutlich länger gebraucht hat als es üblich ist. Zudem verhält es sich auch komisch:
- Im Windows Task Manager wechselt der Status des Programms zwischen "Keine Rückmeldung" und "Wird ausgeführt".
- Der Zähler bei "Durchsuchte Objekte" läuft nicht durch, sondern bleibt stehen, genauso wie Zähler "Laufzeit".
- Immer wenn der Zähler weiter läuft/auf eine andere Zahl schaltet sind 20-60 Sekunden (laut Laufzeitzähler) vergangen. Der Zähler "Durchsuchte Objekte" schafft aber deutlich weniger Dateien als der Laufzeitzähler Sekunden. Ich würde schätzen, dass durchschnittlich ca. 7 Dateien in 20-60 Sekunden durchsucht werden.
- Die beiden Zähler laufen weiter bzw. besser: schalten auf eine Zahl, wenn bei WTM der Status von "Keine Rückmeldung" auf "Wird Ausgeführt" wechselt.
- Es scheint so als würde der Suchlauf/ Programm ständig unterbrochen. Deshalb der Statuswechsel im WTM zwischen "Keine Rückmeldung" und "Wird Ausgeführt" und das nicht Durchlaufen der Zähler.


Liebe Grüße










Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 21. Dezember 2010 12:01

Es wird nach 2264596 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : THOMAS1987

Versionsinformationen:
BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33
VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34
VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34
VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34
VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34
VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35
VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35
VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35
VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35
VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35
VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35
VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35
VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35
VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36
VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36
VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36
VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36
VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36
VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36
Engineversion : 8.2.4.126
AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28
AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38
AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16
AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41
AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02
AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25
AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01
AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46
AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 21. Dezember 2010 12:01

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINDOW~1.SCR' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'brmfcwnd.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Wbutton.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1858' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar
[0] Archivtyp: ZIP
--> locale/zh-CN/autopager.dtd.orig
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
Beginne mit der Suche in 'D:\' <RECOVER>


Ende des Suchlaufs: Dienstag, 21. Dezember 2010 15:46
Benötigte Zeit: 3:44:46 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7928 Verzeichnisse wurden überprüft
407978 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
407978 Dateien ohne Befall
8130 Archive wurden durchsucht
2 Warnungen
0 Hinweise
582821 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden







Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 20. Dezember 2010 12:01

Es wird nach 2264596 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : THOMAS1987

Versionsinformationen:
BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33
VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34
VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34
VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34
VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34
VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35
VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35
VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35
VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35
VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35
VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35
VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35
VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35
VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36
VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36
VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36
VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36
VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36
VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36
Engineversion : 8.2.4.126
AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28
AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38
AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16
AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41
AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02
AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25
AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01
AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46
AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 20. Dezember 2010 12:01

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINDOW~1.SCR' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Wbutton.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1857' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar
[0] Archivtyp: ZIP
--> locale/zh-CN/autopager.dtd.orig
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP328\A0936925.exe
[FUND] Ist das Trojanische Pferd TR/Riner.aeu
Beginne mit der Suche in 'D:\' <RECOVER>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP328\A0936925.exe
[FUND] Ist das Trojanische Pferd TR/Riner.aeu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ccdd1.qua' verschoben!


Ende des Suchlaufs: Montag, 20. Dezember 2010 15:32
Benötigte Zeit: 3:27:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7918 Verzeichnisse wurden überprüft
408003 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
408002 Dateien ohne Befall
8126 Archive wurden durchsucht
2 Warnungen
1 Hinweise
582843 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden




Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5362

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21.12.2010 15:12:55
mbam-log-2010-12-21 (15-12-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 97223
Laufzeit: 19 Stunde(n), 31 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 21.12.2010, 23:20   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Zitat:
ich habe Malwarebytes durchlaufen lassen. Leider hat es ein wenig zu lange gedauert: 19 Stunden...
Wieso lässt du es jetzt nochmal durchlaufen? Ich hab dir einen OTL-Fix gepostet und du machst was ganz anderes!
__________________
--> Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten

Alt 21.12.2010, 23:27   #7
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hier noch das neue OTL Log.
Dazu poste ich noch zwei Antivir Logs, die gestern das Trojanische Pferd TR/Riner.aeu gefunden haben.

Dabei wurden diese beiden Sachen hier, welche heute OTL nicht finden konnte, ins Quarantäneverzeichnis verschoben:

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Codecxml not found.
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc\d3dbus.exe not found.

Ich dachte ich sollte das mal erwähnen.





All processes killed
========== OTL ==========
Prefs.js: "localhost" removed from network.proxy.http
Prefs.js: 9666 removed from network.proxy.http_port
Prefs.js: "localhost" removed from network.proxy.socks
Prefs.js: 9050 removed from network.proxy.socks_port
Prefs.js: true removed from network.proxy.socks_remote_dns
Prefs.js: "localhost" removed from network.proxy.ssl
Prefs.js: 9666 removed from network.proxy.ssl_port
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Codecxml not found.
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc\d3dbus.exe not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: ***
->Temp folder emptied: 900215 bytes
->Temporary Internet Files folder emptied: 1469024 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 73826450 bytes
->Flash cache emptied: 2152 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 183021 bytes
RecycleBin emptied: 4326674 bytes

Total Files Cleaned = 77,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 12212010_214315

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...











Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 20. Dezember 2010 03:15

Es wird nach 2264596 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : THOMAS1987

Versionsinformationen:
BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33
VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34
VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34
VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34
VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34
VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35
VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35
VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35
VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35
VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35
VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35
VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35
VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35
VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36
VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36
VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36
VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36
VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36
VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36
Engineversion : 8.2.4.126
AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28
AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38
AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16
AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41
AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02
AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25
AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01
AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46
AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4e4b037f\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Montag, 20. Dezember 2010 03:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brmfcwnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Wbutton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe'
C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe
[FUND] Ist das Trojanische Pferd TR/Riner.aeu
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Codecxml> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e621dd0.qua' verschoben!


Ende des Suchlaufs: Montag, 20. Dezember 2010 03:16
Benötigte Zeit: 01:23 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
64 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
63 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.








Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 20. Dezember 2010 03:21

Es wird nach 2264596 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : THOMAS1987

Versionsinformationen:
BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33
VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34
VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34
VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34
VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34
VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35
VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35
VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35
VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35
VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35
VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35
VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35
VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35
VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36
VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36
VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36
VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36
VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36
VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36
Engineversion : 8.2.4.126
AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28
AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38
AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16
AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41
AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02
AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25
AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01
AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46
AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4e4b037f\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Montag, 20. Dezember 2010 03:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mrtstub.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'windows-kb890830-v3.14-delta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brmfcwnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Wbutton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe'
C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe
[FUND] Ist das Trojanische Pferd TR/Riner.aeu
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Codecxml> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e621f1e.qua' verschoben!


Ende des Suchlaufs: Montag, 20. Dezember 2010 03:24
Benötigte Zeit: 02:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
65 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
64 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Alt 21.12.2010, 23:56   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.12.2010, 23:17   #9
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hallo,
hier das Log von Combofix:







Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-21.01 - *** 22.12.2010  22:04:23.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.225 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
 ADS - svchost.exe: deleted 36 bytes in 1 streams. 
 ADS - explorer.exe: deleted 36 bytes in 1 streams. 
 ADS - netcfgx.dll: deleted 36 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\pthreadVC.dll
D:\AUTORUN.INF

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_SVCHOST


(((((((((((((((((((((((   Dateien erstellt von 2010-11-22 bis 2010-12-22  ))))))))))))))))))))))))))))))
.

2010-12-22 19:43 . 2010-12-22 19:44	--------	d-----w-	c:\programme\CCleaner
2010-12-21 20:43 . 2010-12-21 20:43	--------	d-----w-	C:\_OTL
2010-12-19 22:24 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-19 21:55 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-11-27 23:01 . 2010-11-27 23:02	--------	d-----w-	c:\programme\ERUNT
2010-11-27 01:15 . 2010-11-27 01:15	--------	d-----w-	c:\programme\7-Zip
2010-11-26 00:58 . 2010-11-26 00:58	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-11-26 00:57 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-26 00:57 . 2010-12-04 15:33	--------	d-----w-	c:\programme\Mwb' A-M
2010-11-26 00:57 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-25 19:47 . 2010-11-25 19:47	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Helper
2010-11-23 00:23 . 2010-12-20 03:08	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Padcsc

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 15:50 . 2009-09-15 14:11	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-22 19:50 . 2009-09-15 14:11	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-07-06 15:19	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:27 . 2006-03-24 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:27 . 2006-03-24 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-11-06 00:27 . 2006-03-24 12:00	1830912	------w-	c:\windows\system32\inetcpl.cpl
2010-11-06 00:27 . 2006-03-24 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2006-03-24 12:00	389120	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2009-06-26 21:46 . 2009-06-26 21:44	32467048	----a-w-	c:\programme\avira_antivir_personal_de.exe
2009-03-28 15:49 . 2009-03-28 15:49	318904	----a-w-	c:\programme\wmpfirefoxplugin.exe
2009-03-05 23:07 . 2009-03-05 23:07	3813472	----a-w-	c:\programme\DivXWebPlayerInstaller.exe
2008-11-23 22:13 . 2008-11-23 22:12	270128	----a-w-	c:\programme\utorrent.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 94208]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 16251904]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-07-17 65536]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 798810]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-07-07 155648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-07 180269]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2006-10-20 802816]
VPN Client.lnk - c:\windows\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-2-6 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

R1 dfaf;dfaf;c:\windows\system32\dfaf.sys [x]
R1 mailKmd;mailKmd; [x]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [x]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [x]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]

.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.youtube.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: AutoPager: autopager@mozilla.org - %profile%\extensions\autopager@mozilla.org
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: TVU Web Player: firefox@tvunetworks.com - %profile%\extensions\firefox@tvunetworks.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: UltraSurf Firefox Tool: {5B52016C-D097-4aec-BE61-9F129D8FDDBA} - %profile%\extensions\{5B52016C-D097-4aec-BE61-9F129D8FDDBA}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-22 22:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1996)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brsvc01a.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\eHome\ehmsas.exe
c:\windows\sm56hlpr.exe
c:\windows\RTHDCPL.EXE
c:\programme\Skype\Phone\Skype.exe
c:\windows\system32\dllhost.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-22  22:53:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-22 21:53

Vor Suchlauf: 13 Verzeichnis(se), 27.705.704.448 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 27.676.135.424 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30

- - End Of File - - 8E5F3CBD4D873C5F5B7D5E07F0555529
         
--- --- ---

Alt 23.12.2010, 09:47   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
c:\windows\system32\dfaf.sys

Driver::
dfaf
mailKmd
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.12.2010, 02:05   #11
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hallo,
Habe das Log gepostet. Hier mal der aktuelle Stand der Dinge:
- Das Problem, dass der PC versucht herunterzufahren, wenn (wie ich meine) Internetzugang besteht, ist nicht mehr aufgetaucht.
- Heute (vor dem 2. Versuch mit Combofix) ist mir aber aufgefallen, dass das Desktop mit den Symbolen (auch unten in der Leiste)nach dem Hochfahren plötzlich wieder für mehrere Sekunden verschwand. Es sah so aus als wäre der PC ein zweites Mal hochgefahren (aber ohne booten...) als dann die Symbole und das ganze Desktop wieder auftauchten. Ich meine, dass ich das Phänomen schon in meinem ersten Beitrag beschrieben hätte. Die letzten Tage konnte ich das aber nicht beobachten.
- Zudem deaktivieren sich Windows Firewall und Antivir des öfteren, vor allem beim Hochfahren. Auch zum Beispiel wenn Antivir Updates herunterlädt. Ist das normal? Konnte ich vor dem Virus auf dem PC nie feststellen, deshalb bin ich da misstrauisch.

Vorab wünsche ich dir schon mal schöne Feiertage!!







Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-21.01 - geigert 24.12.2010   0:30.2.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\geigert\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\geigert\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\dfaf.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DFAF
-------\Service_dfaf
-------\Service_mailKmd


(((((((((((((((((((((((   Dateien erstellt von 2010-11-23 bis 2010-12-23  ))))))))))))))))))))))))))))))
.

2010-12-23 22:10 . 2010-12-23 22:47	--------	d-----w-	c:\windows\system32\NtmsData
2010-12-22 19:43 . 2010-12-22 19:44	--------	d-----w-	c:\programme\CCleaner
2010-12-21 20:43 . 2010-12-21 20:43	--------	d-----w-	C:\_OTL
2010-12-19 22:24 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-19 21:55 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-11-27 23:01 . 2010-11-27 23:02	--------	d-----w-	c:\programme\ERUNT
2010-11-27 01:15 . 2010-11-27 01:15	--------	d-----w-	c:\programme\7-Zip
2010-11-26 00:58 . 2010-11-26 00:58	--------	d-----w-	c:\dokumente und einstellungen\geigert\Anwendungsdaten\Malwarebytes
2010-11-26 00:57 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-26 00:57 . 2010-12-04 15:33	--------	d-----w-	c:\programme\Mwb' A-M
2010-11-26 00:57 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-25 19:47 . 2010-11-25 19:47	--------	d-----w-	c:\dokumente und einstellungen\geigert\Anwendungsdaten\Helper

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 15:50 . 2009-09-15 14:11	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-22 19:50 . 2009-09-15 14:11	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-07-06 15:19	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:27 . 2006-03-24 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:27 . 2006-03-24 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-11-06 00:27 . 2006-03-24 12:00	1830912	------w-	c:\windows\system32\inetcpl.cpl
2010-11-06 00:27 . 2006-03-24 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2006-03-24 12:00	389120	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2009-06-26 21:46 . 2009-06-26 21:44	32467048	----a-w-	c:\programme\avira_antivir_personal_de.exe
2009-03-28 15:49 . 2009-03-28 15:49	318904	----a-w-	c:\programme\wmpfirefoxplugin.exe
2009-03-05 23:07 . 2009-03-05 23:07	3813472	----a-w-	c:\programme\DivXWebPlayerInstaller.exe
2008-11-23 22:13 . 2008-11-23 22:12	270128	----a-w-	c:\programme\utorrent.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 94208]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 16251904]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-07-17 65536]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 798810]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-07-07 155648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-07 180269]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2006-10-20 802816]
VPN Client.lnk - c:\windows\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-2-6 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [x]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [x]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.youtube.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: AutoPager: autopager@mozilla.org - %profile%\extensions\autopager@mozilla.org
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: TVU Web Player: firefox@tvunetworks.com - %profile%\extensions\firefox@tvunetworks.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: UltraSurf Firefox Tool: {5B52016C-D097-4aec-BE61-9F129D8FDDBA} - %profile%\extensions\{5B52016C-D097-4aec-BE61-9F129D8FDDBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-24 00:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brsvc01a.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\eHome\ehRecvr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\sm56hlpr.exe
c:\windows\RTHDCPL.EXE
c:\programme\Skype\Phone\Skype.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\eHome\ehmsas.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-24  01:18:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-24 00:17
ComboFix2.txt  2010-12-22 21:53

Vor Suchlauf: 15 Verzeichnis(se), 27.603.632.128 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 27.591.278.592 Bytes frei

- - End Of File - - 5290DFE35DD8D3DCE0FD192841C7A0FE
         
--- --- ---

Alt 25.12.2010, 00:41   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.12.2010, 17:31   #13
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Hallo,
hier die logs von Osam und MBR. Gmer hat leider nicht funktioniert, ist hängen geblieben.








OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:47:52 on 25.12.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17093

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbaccpl.cpl
"ddbacctm.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbacctm.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AFGMp50 NDIS Protocol Driver" (AFGMp50) - ? - C:\WINDOWS\System32\Drivers\AFGMp50.sys  (File not found)
"AFGSp50 NDIS Protocol Driver" (AFGSp50) - ? - C:\WINDOWS\System32\Drivers\AFGSp50.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi.exe\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"Hotkey" (Hotkey) - ? - C:\WINDOWS\system32\drivers\Hotkey.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"Microsoft Standard-USB-Haupttreiber" (usbccgp) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\usbccgp.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SASDIFSV" (SASDIFSV) - ? - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS  (File not found)
"SASENUM" (SASENUM) - ? - C:\Programme\SUPERAntiSpyware\SASENUM.SYS  (File not found)
"SASKUTIL" (SASKUTIL) - ? - C:\Programme\SUPERAntiSpyware\SASKUTIL.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"vsdatant" (vsdatant) - "Zone Labs LLC" - C:\WINDOWS\system32\vsdatant.sys
"Wbutton" (Wbutton) - ? - C:\WINDOWS\system32\drivers\Wbutton.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - ? - F:\Microsoft Office\OFFICE11\msohev.dll  (File not found)
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office\MLSHEXT.DLL
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} "F-Secure Online Scanner 3.3" - "F-Secure Corporation" - C:\WINDOWS\Downloaded Program Files\fscax.dll / hxxp://support.f-secure.com/ols/fscax.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{233C1507-6A77-46A4-9443-F871F945D258} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\swdir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - ? - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll  (File not found)
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)
"Status Monitor.lnk" - "Brother Industries, Ltd." - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe  (Shortcut exists | File exists)
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\geigert\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"ControlCenter2.0" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
"CtrlVol" - "Wistron" - "C:\Programme\Launch Manager\CtrlVol.exe"
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"HotkeyApp" - "Wistron" - "C:\Programme\Launch Manager\HotkeyApp.exe"
"IndexSearch" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
"LaunchAp" - ? - "C:\Programme\Launch Manager\LaunchAp.exe"
"LMgrOSD" - "Wistron" - "C:\Programme\Launch Manager\OSD.exe"
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"PaperPort PTD" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SetDefPrt" - "Brother Industories, Ltd." - C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
"SSBkgdUpdate" - "Scansoft, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"Wbutton" - ? - "C:\Programme\Launch Manager\Wbutton.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Messenger Sharing USN Journal Reader-Service" (usnsvc) - "Microsoft Corporation" - C:\Programme\MSN Messenger\usnsvc.dll
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - ? - C:\WINDOWS\system32\WINDOW~1.SCR  (File found, but it contains no detailed information)
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru













MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF8B35000 \WINDOWS\system32\KDCOM.DLL
0xF8A45000 \WINDOWS\system32\BOOTVID.dll
0xF8505000 ACPI.sys
0xF8B37000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84F4000 pci.sys
0xF8635000 isapnp.sys
0xF8A49000 compbatt.sys
0xF8A4D000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF8BFD000 pciide.sys
0xF88B5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8B39000 intelide.sys
0xF8645000 MountMgr.sys
0xF84D5000 ftdisk.sys
0xF8B3B000 dmload.sys
0xF84AF000 dmio.sys
0xF8A51000 ACPIEC.sys
0xF8BFE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF88BD000 PartMgr.sys
0xF8655000 VolSnap.sys
0xF8497000 atapi.sys
0xF8665000 disk.sys
0xF8675000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF8477000 fltmgr.sys
0xF8465000 sr.sys
0xF8685000 PxHelp20.sys
0xF844E000 KSecDD.sys
0xF83C1000 Ntfs.sys
0xF8394000 NDIS.sys
0xF837A000 Mup.sys
0xF86D5000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF790F000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF78FB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF78D3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF88FD000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF78AF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF8905000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7693000 \SystemRoot\system32\DRIVERS\w29n51.sys
0xF7A30000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7A69000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF891D000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7663000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF8BB3000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF8925000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A59000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8805000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF86B5000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7640000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7622000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF8D0B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF86C5000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7A28000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF760B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF87D5000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF87E5000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF8935000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF75FA000 \SystemRoot\system32\DRIVERS\psched.sys
0xF87F5000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF892D000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF894D000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF75CA000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF8815000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8BB5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF756C000 \SystemRoot\system32\DRIVERS\update.sys
0xF8B09000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF8825000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA95A9000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xA9585000 \SystemRoot\system32\drivers\portcls.sys
0xF7A89000 \SystemRoot\system32\drivers\drmk.sys
0xA94B6000 \SystemRoot\system32\DRIVERS\smserial.sys
0xF8A3D000 \SystemRoot\System32\Drivers\Modem.SYS
0xAA020000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8BEF000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8CF0000 \SystemRoot\System32\Drivers\Null.SYS
0xF8BF1000 \SystemRoot\System32\Drivers\Beep.SYS
0xF89ED000 \SystemRoot\System32\drivers\vga.sys
0xF8BF3000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8BF5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF89F5000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF89FD000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAA240000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA9433000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA93DA000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA93B2000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA9390000 \SystemRoot\System32\drivers\afd.sys
0xAA010000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF8A25000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA9365000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA92F5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF832D000 \SystemRoot\System32\Drivers\Hotkey.SYS
0xAA000000 \SystemRoot\System32\Drivers\Fips.SYS
0xA92CF000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA9FF0000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xA92A9000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8BF9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA9285000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA9A83000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA9FC0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF8A2D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA9A7F000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA926D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8B51000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF8AFD000 \SystemRoot\System32\drivers\Dxapi.sys
0xF8945000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8C8E000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF041000 \SystemRoot\System32\ialmdev5.DLL
0xBF075000 \SystemRoot\System32\ialmdd5.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA91B8000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA91B4000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA8EFB000 \SystemRoot\system32\drivers\wdmaud.sys
0xA9048000 \SystemRoot\system32\drivers\sysaudio.sys
0xA8CC6000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA8D9B000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA8968000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xA8927000 \SystemRoot\System32\Drivers\HTTP.sys
0xA86DC000 \SystemRoot\system32\DRIVERS\srv.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
852 C:\WINDOWS\system32\smss.exe
956 csrss.exe
992 C:\WINDOWS\system32\winlogon.exe
1036 C:\WINDOWS\system32\services.exe
1048 C:\WINDOWS\system32\lsass.exe
1208 C:\WINDOWS\system32\svchost.exe
1308 svchost.exe
1368 C:\WINDOWS\system32\svchost.exe
1504 svchost.exe
1624 svchost.exe
1720 C:\WINDOWS\explorer.exe
1972 C:\WINDOWS\system32\brsvc01a.exe
1992 C:\WINDOWS\system32\brss01a.exe
1996 C:\WINDOWS\system32\spoolsv.exe
232 C:\Programme\Avira\AntiVir Desktop\sched.exe
760 svchost.exe
1156 C:\WINDOWS\ehome\ehtray.exe
1232 C:\WINDOWS\system32\hkcmd.exe
1412 C:\WINDOWS\system32\igfxpers.exe
1432 C:\WINDOWS\sm56hlpr.exe
1596 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1776 C:\WINDOWS\RTHDCPL.exe
1848 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1860 C:\Programme\Launch Manager\LaunchAp.exe
1936 C:\Programme\Launch Manager\HotkeyApp.exe
348 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
356 C:\Programme\Launch Manager\OSD.exe
372 C:\Programme\Launch Manager\WButton.exe
392 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
656 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
712 C:\WINDOWS\ehome\ehrecvr.exe
824 C:\WINDOWS\ehome\ehSched.exe
944 C:\Programme\Brother\ControlCenter2\brctrcen.exe
1240 C:\WINDOWS\system32\svchost.exe
1084 C:\Programme\QuickTime\qttask.exe
1684 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
1712 C:\Programme\Java\jre6\bin\jqs.exe
1888 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1404 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
624 C:\Programme\DivX\DivX Update\DivXUpdate.exe
1792 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
860 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
912 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
920 C:\Programme\Skype\Phone\Skype.exe
1604 C:\Programme\Windows Media Player\wmpnscfg.exe
1540 svchost.exe
2136 C:\WINDOWS\system32\svchost.exe
2228 mcrdsvc.exe
2348 C:\WINDOWS\system32\fxssvc.exe
2464 wmpnetwk.exe
1444 C:\WINDOWS\system32\wuauclt.exe
3640 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3728 C:\Programme\Skype\Plugin Manager\skypePM.exe
3992 alg.exe
4032 C:\WINDOWS\ehome\ehmsas.exe
3488 C:\WINDOWS\system32\dllhost.exe
3796 C:\Programme\Mozilla Firefox\firefox.exe
2616 C:\Dokumente und Einstellungen\geigert\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000f`b6229600 (FAT32)

PhysicalDrive0 Model Number: SAMSUNGMP0804H, Rev: YS200-06

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows 98 MBR code detected
SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E


Done!

Alt 25.12.2010, 17:33   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Zitat:
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows 98 MBR code detected
SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E
Sieht an für sich ok aus, aber der Win98-MBR-Code verwirrt mich etwas, da du ja XP hast.

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.12.2010, 23:46   #15
mlaudrup
 
Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Standard

Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten



Sorry dass das so lange gedauert hat. Habs nicht gleich hinbekommen, hoffe nun dass ich es richtig gemacht habe. Hier das neue Log:









MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 125):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF8B35000 \WINDOWS\system32\KDCOM.DLL
0xF8A45000 \WINDOWS\system32\BOOTVID.dll
0xF8505000 ACPI.sys
0xF8B37000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84F4000 pci.sys
0xF8635000 isapnp.sys
0xF8A49000 compbatt.sys
0xF8A4D000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF8BFD000 pciide.sys
0xF88B5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8B39000 intelide.sys
0xF8645000 MountMgr.sys
0xF84D5000 ftdisk.sys
0xF8B3B000 dmload.sys
0xF84AF000 dmio.sys
0xF8A51000 ACPIEC.sys
0xF8BFE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF88BD000 PartMgr.sys
0xF8655000 VolSnap.sys
0xF8497000 atapi.sys
0xF8665000 disk.sys
0xF8675000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF8477000 fltmgr.sys
0xF8465000 sr.sys
0xF8685000 PxHelp20.sys
0xF844E000 KSecDD.sys
0xF83C1000 Ntfs.sys
0xF8394000 NDIS.sys
0xF837A000 Mup.sys
0xF86D5000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7127000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF7113000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF70EB000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF8925000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF70C7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF892D000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6EAB000 \SystemRoot\system32\DRIVERS\w29n51.sys
0xF8345000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF86E5000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF8935000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF6E7B000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF8B69000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF893D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF86F5000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8705000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF8715000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6E58000 \SystemRoot\system32\DRIVERS\ks.sys
0xF6E3A000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF8C60000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF8725000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF833D000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6E23000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF8735000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF8745000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF8945000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6E12000 \SystemRoot\system32\DRIVERS\psched.sys
0xF8755000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF894D000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF8955000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6DE2000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF8765000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8B6B000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6D84000 \SystemRoot\system32\DRIVERS\update.sys
0xF8321000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF8785000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA9DE1000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xA9DBD000 \SystemRoot\system32\drivers\portcls.sys
0xF87F5000 \SystemRoot\system32\drivers\drmk.sys
0xA9CEE000 \SystemRoot\system32\DRIVERS\smserial.sys
0xF89DD000 \SystemRoot\System32\Drivers\Modem.SYS
0xF8865000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8B99000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8D7E000 \SystemRoot\System32\Drivers\Null.SYS
0xF8B9B000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8905000 \SystemRoot\System32\drivers\vga.sys
0xF8B9F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8BA1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8A05000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8A0D000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAA73B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA8C75000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA8C1C000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA8BF4000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA8BD2000 \SystemRoot\System32\drivers\afd.sys
0xF86A5000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF8A1D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA85F7000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA8DE6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xA85CC000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA855C000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAA495000 \SystemRoot\System32\Drivers\Hotkey.SYS
0xA8DD6000 \SystemRoot\System32\Drivers\Fips.SYS
0xAA47D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA8DB6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF897D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA9CE6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA7000000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8B59000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA6FDC000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA6FC4000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8B5F000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAA489000 \SystemRoot\System32\drivers\Dxapi.sys
0xA7657000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8CCC000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF041000 \SystemRoot\System32\ialmdev5.DLL
0xBF075000 \SystemRoot\System32\ialmdd5.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA6FAF000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA8D4A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA6E32000 \SystemRoot\system32\drivers\wdmaud.sys
0xA861D000 \SystemRoot\system32\drivers\sysaudio.sys
0xA6CC5000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAA42D000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA671B000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xA6612000 \SystemRoot\System32\Drivers\HTTP.sys
0xA64A2000 \SystemRoot\system32\DRIVERS\srv.sys
0xA5A56000 \SystemRoot\system32\drivers\kmixer.sys
0xF8BC5000 \SystemRoot\system32\drivers\splitter.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
840 C:\WINDOWS\system32\smss.exe
944 csrss.exe
968 C:\WINDOWS\system32\winlogon.exe
1012 C:\WINDOWS\system32\services.exe
1024 C:\WINDOWS\system32\lsass.exe
1184 C:\WINDOWS\system32\svchost.exe
1284 svchost.exe
1324 C:\WINDOWS\system32\svchost.exe
1392 svchost.exe
1552 svchost.exe
1704 C:\WINDOWS\explorer.exe
1952 C:\WINDOWS\system32\brsvc01a.exe
1968 C:\WINDOWS\system32\brss01a.exe
1980 C:\WINDOWS\system32\spoolsv.exe
2028 C:\Programme\Avira\AntiVir Desktop\sched.exe
284 svchost.exe
352 C:\WINDOWS\ehome\ehtray.exe
384 C:\WINDOWS\system32\hkcmd.exe
408 C:\WINDOWS\system32\igfxpers.exe
612 C:\WINDOWS\sm56hlpr.exe
636 C:\WINDOWS\RTHDCPL.exe
744 C:\Programme\Launch Manager\LaunchAp.exe
860 C:\Programme\Launch Manager\HotkeyApp.exe
876 C:\Programme\Launch Manager\OSD.exe
884 C:\Programme\Launch Manager\WButton.exe
1236 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1380 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
1628 C:\Programme\Brother\ControlCenter2\brctrcen.exe
1636 C:\Programme\QuickTime\qttask.exe
1812 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
1880 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1116 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
180 C:\Programme\Avira\AntiVir Desktop\avguard.exe
392 C:\Programme\DivX\DivX Update\DivXUpdate.exe
1620 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
792 C:\Programme\Skype\Phone\Skype.exe
1200 C:\Programme\Windows Media Player\wmpnscfg.exe
188 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
280 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
452 C:\WINDOWS\ehome\ehrecvr.exe
576 C:\WINDOWS\ehome\ehSched.exe
1448 C:\WINDOWS\system32\svchost.exe
1560 C:\Programme\Java\jre6\bin\jqs.exe
2056 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
2100 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
2180 svchost.exe
2220 C:\WINDOWS\system32\svchost.exe
2308 mcrdsvc.exe
2424 C:\WINDOWS\system32\fxssvc.exe
2480 wmpnetwk.exe
3652 C:\WINDOWS\system32\wuauclt.exe
3772 C:\WINDOWS\ehome\ehmsas.exe
4040 wmiprvse.exe
2816 C:\WINDOWS\system32\dllhost.exe
3176 C:\Programme\Skype\Plugin Manager\skypePM.exe
3444 alg.exe
3352 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2856 C:\Dokumente und Einstellungen\geigert\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000f`b6229600 (FAT32)

PhysicalDrive0 Model Number: SAMSUNGMP0804H, Rev: YS200-06

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Antwort

Themen zu Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten
.com, 0x8007042, 7-zip, adobe, antivir, avira, computer, desktop, einstellungen, error, fehler, firefox.exe, flash player, herunterfahren, hängen, internet, langsam, launch, location, logfile, media center, mozilla, oldtimer, otl.exe, pc normal, problem, realtek, registry, routine, rundll, saver, security, sehr langsam, shell32.dll, super, system restore, taskleiste, tcp, udp, viren, vlc media player, warum, windows internet



Ähnliche Themen: Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten


  1. Tabs öffnen sich von selber
    Plagegeister aller Art und deren Bekämpfung - 14.06.2014 (13)
  2. Nach Trojanerfund FRST Log erstellt
    Log-Analyse und Auswertung - 15.04.2014 (9)
  3. Trojanerfund nach LAN-Party
    Log-Analyse und Auswertung - 19.11.2013 (11)
  4. Bitdefender deaktiviert sich nach Trojanerfund-Meldung
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (29)
  5. GVU Trojaner, selber versucht zu löschen
    Plagegeister aller Art und deren Bekämpfung - 03.03.2013 (24)
  6. Virenfund-PC versucht sich selber herunterzufahren
    Plagegeister aller Art und deren Bekämpfung - 04.12.2010 (0)
  7. H1lf3 bei Trojanerfund nach betrachten von Facebook-Fanpages.
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (1)
  8. Problem: Pc hängt sich auf und ist dann nur noch über Netzschalter auszuschalten
    Plagegeister aller Art und deren Bekämpfung - 28.04.2010 (0)
  9. Trojanerfund durch Antivir; Internetseiten bauen sich langsam auf
    Plagegeister aller Art und deren Bekämpfung - 06.04.2010 (4)
  10. Programm öffnet sich von selber
    Alles rund um Windows - 28.12.2009 (3)
  11. HiJackFile ausweten,hab selber versucht und sicher das etwas nicht in Ordnung ist
    Log-Analyse und Auswertung - 01.12.2009 (11)
  12. Nach Trojanerfund geht nix mehr. Hat nrmrj.exe was damit zu tun?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2009 (3)
  13. Trojanerfund nach Backup der Systemplatte
    Plagegeister aller Art und deren Bekämpfung - 15.06.2009 (1)
  14. Computer fährt sich nach countdown selber herrunter
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  15. Internet ist unnormal langsam nach Trojanerfund. Trotz entfernen!
    Plagegeister aller Art und deren Bekämpfung - 06.07.2008 (3)
  16. Ordner schliessen sich selber nach öffnen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (4)
  17. CD Laufwerk öffnet sich von selber
    Plagegeister aller Art und deren Bekämpfung - 06.09.2006 (5)

Zum Thema Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten - Habe die vom Forum geforderten Schritte ausgeführt und die Suchprotokolle unten angefügt bzw. als Anhang beigefügt. Das hier ist jetzt mein zweiter Versuch, beim ersten Mal hat mir leider keiner - Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten...
Archiv
Du betrachtest: Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.