1.Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden...

chrise · 23.03.2011, 07:39

Hallo Ich habe folgende Meldung von Avira

Upps, das ging jetzt zu schnell mit dem Absenden...

In der Datei 'C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\xlicons.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern.

Hier die ersten beiden Logfiles, der Logfile von GMER ist so elend lang, dass mir euer System sagt , mein Beitrag sei zu groß (über 800.000 Zeichen).... Was soll ich tun?
OTL:
In der Datei 'C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\xlicons.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

jetzt Extras:OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 22.03.2011 10:43:34 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Documents and Settings\Scheidt\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
503,00 Mb Total Physical Memory | 204,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 50,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 19,53 Gb Total Space | 2,43 Gb Free Space | 12,46% Space Free | Partition Type: NTFS
Drive D: | 54,99 Gb Total Space | 7,76 Gb Free Space | 14,12% Space Free | Partition Type: NTFS
 
Computer Name: DELL | User Name: Scheidt | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Grisoft\AVG7\avginet.exe" = C:\Program Files\Grisoft\AVG7\avginet.exe:*:Enabled:avginet.exe
"C:\Program Files\Grisoft\AVG7\avgamsvr.exe" = C:\Program Files\Grisoft\AVG7\avgamsvr.exe:*:Enabled:avgamsvr.exe
"C:\Program Files\Grisoft\AVG7\avgcc.exe" = C:\Program Files\Grisoft\AVG7\avgcc.exe:*:Enabled:avgcc.exe
"C:\Program Files\Voipwise.com\Voipwise\Voipwise.exe" = C:\Program Files\Voipwise.com\Voipwise\Voipwise.exe:*:Enabled:Voipwise -- (Voipwise)
"C:\Program Files\devolo\informer\devinf.exe" = C:\Program Files\devolo\informer\devinf.exe:*:Enabled:devolo Informer -- (devolo AG)
"C:\Program Files\devolo\easyshare\easyshare.exe" = C:\Program Files\devolo\easyshare\easyshare.exe:*:Enabled:devolo EasyShare -- (devolo AG)
"C:\coktel\Junior2\WLOADER.EXE" = C:\coktel\Junior2\WLOADER.EXE:*:Enabled:Addy Junior V.2.20 Deutsche Version auf Laufwerk C
"D:\Daten\eMule0.48a\emule.exe" = D:\Daten\eMule0.48a\emule.exe:*:Disabled:eMule
"C:\Program Files\IncrediMail\bin\IncMail.exe" = C:\Program Files\IncrediMail\bin\IncMail.exe:*:Disabled:IncrediMail
"C:\Program Files\IncrediMail\bin\ImpCnt.exe" = C:\Program Files\IncrediMail\bin\ImpCnt.exe:*:Disabled:IncrediMail
"C:\Program Files\IncrediMail\bin\ImApp.exe" = C:\Program Files\IncrediMail\bin\ImApp.exe:*:Disabled:IncrediMail
"C:\Documents and Settings\Scheidt\Local Settings\Temporary Internet Files\Content.IE5\S1YB8H6F\incredimail_install[1].exe" = C:\Documents and Settings\Scheidt\Local Settings\Temporary Internet Files\Content.IE5\S1YB8H6F\incredimail_install[1].exe:*:Disabled:IncrediMail Installer
"C:\Program Files\AVG\AVG8\avgupd.exe" = C:\Program Files\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe
"C:\Program Files\AVG\AVG8\avgemc.exe" = C:\Program Files\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe
"C:\Program Files\Real\RealPlayer\realplay.exe" = C:\Program Files\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Program Files\Home Cinema\PowerDirector\PDR.exe" = C:\Program Files\Home Cinema\PowerDirector\PDR.exe:*:Enabled:CyberLink PowerDirector -- (CyberLink Corp.)
"C:\Program Files\Mozilla Firefox\firefox.exe" = C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Documents and Settings\Scheidt\temp\TeamViewer\Version5\TeamViewer.exe" = C:\Documents and Settings\Scheidt\temp\TeamViewer\Version5\TeamViewer.exe:*:Enabled:TeamViewer -- (TeamViewer GmbH)
"C:\Program Files\Java\jre6\bin\javaw.exe" = C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Program Files\Google\Google Earth\client\googleearth.exe" = C:\Program Files\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{06BE8AFD-A8E2-4B63-BAE7-287016D16ACB}" = mSSO
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{30BB4D60-81DB-11D5-BB77-00400536ABAC}" = OLYMPUS CAMEDIA Master 4.0
"{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B6B35FF-2E18-41CF-B192-686F3EAD2A14}" = 12025SC Kabellose Multimedia Tastatur und Maus Set
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go 5.0
"{412AACB5-057F-465D-A542-A5A457106EE3}" = Driver Setup
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{49D687E5-6784-431B-A0A2-2F23B8CC5A1B}" = mHlpDell
"{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}" = StarModem ADSL USB MODEM
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{672D0014-71A9-45EF-B10E-DEF7426961A6}" = Sibelius Scorch (Firefox, Opera, Netscape only)
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69E8BEBD-B3AA-4981-BA49-AD0AEA731031}" = Nero BackItUp 2 Essentials
"{6B9B0C6F-E5FA-4633-A640-AB98A272ECCA}" = Safari
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}" = mIWCA
"{75438C0E-9925-412E-AD85-D0E71C6CE2ED}" = Look 1320 V2
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7CD7A451-7224-49C8-95EF-9A1859C66607}" = mZConfig
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{881F5DE8-9367-4B81-A325-E91BBC6472F9}" = iTunes
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{98B6FB8A-8638-4037-AD44-CF7D0EEAB875}_is1" = TypingMaster Pro
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9D0F85-5658-4A5E-95A9-65F7DB2916EE}" = Broadcom 440x 10/100 Integrated Controller
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{A71D5E81-B967-43DB-93D7-FD31BFB95748}" = MobileMe Control Panel
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.2 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{B3276CB1-20B6-4AF9-AAEC-E72C83816495}" = IKEA Home Planner
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BB406CEB-6207-4512-9BB2-89950DC9D6B6}_is1" = ConvertXtoDVD 2.2.3.258
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CA9BAADB-C262-4E05-B2E2-CEE8CE9809EC}" = mToolkit
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEB3A11A-03EA-11DA-BFBD-00065BBDC0B5}" = MSN Messenger 7.5
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D78653C3-A8FF-415F-92E6-D774E634FF2D}" = Dell ResourceCD
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"ALDI Foto Service Nord D" = ALDI Foto Service Nord
"Aldi Nord Fotoservice_is1" = Aldi Nord Fotoservice
"a-squared Free_is1" = a-squared Free 4.5
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon G.726 WMP-Decoder" = Canon G.726 WMP-Decoder
"CCleaner" = CCleaner
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_14F100C3" = Conexant HDA D110 MDC V.92 Modem
"CSCLIB" = Canon Camera Support Core Library
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"dlanconf" = devolo dLAN-Konfigurationsassistent
"dslmon" = devolo Informer
"easyclean" = devolo EasyClean
"easyshare" = devolo EasyShare
"ERUNT_is1" = ERUNT 1.1j
"EVEREST Ultimate Edition_is1" = EVEREST Ultimate Edition v4.20
"Free Audio CD to MP3 Converter_is1" = Free Audio CD to MP3 Converter version 1.1
"Free Audio Converter_is1" = Free Audio Converter version 1.2
"Free CD to MP3 Converter" = Free CD to MP3 Converter
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.1
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Imagerunner {4d0b5c11-73a5-49bd-a2ff-557a96362316}_is1" = Imagerunner 2.0
"InstallShield_{3B6B35FF-2E18-41CF-B192-686F3EAD2A14}" = 12025SC Kabellose Multimedia Tastatur und Maus Set
"IrfanView" = IrfanView (remove only)
"Klett Lernsoftware Mathematik - Lambacher Schwei~B0BDFB6A_is1" = Klett Lernsoftware Mathematik - Lambacher Schweizer (2. Lernjah
"Loewe3" = Löwenzahn 3
"Luka" = Luka
"MGI_PHOTOSUITE_SE_V10" = MGI PhotoSuite SE
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PosteRazor_is1" = PosteRazor
"ProInst" = Intel(R) PROSet/Wireless Software
"RealPlayer 12.0" = RealPlayer
"SBMWW" = Schiffe bauen mit Willy Werkel
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.3.1
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Take 2: Sherlock Holmes" = Take 2: Sherlock Holmes
"Take 3 King Arthur" = Take 3 King Arthur
"Teachmaster 4.3" = Teachmaster 4.3 (nur Entfernen)
"TIPP10_is1" = TIPP10 Version 2.0.3
"TomTom HOME" = TomTom HOME 2.7.3.1894
"Totalcmd" = Total Commander (Remove or Repair)
"Voipwise_is1" = Voipwise
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"f031ef6ac137efc5" = Dell Driver Download Manager
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 14.03.2011 17:50:23 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung EXCEL.EXE, Version 11.0.8328.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.03.2011 05:22:19 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 11.0.8328.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 06:47:14 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung nero.exe, Version 6.3.1.12, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 06:47:15 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung nero.exe, Version 6.3.1.12, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 06:51:36 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 06:54:58 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 17:53:29 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 11.0.8328.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 17:53:31 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 11.0.8328.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 17:53:42 | Computer Name = DELL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Voipwise.exe, Version 4.7.630.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 20.03.2011 12:53:51 | Computer Name = DELL | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ole32.dll, Version 5.1.2600.6010, Fehleradresse 0x00121f3b.
 
[ System Events ]
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "PLFlash DeviceIoControl Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "RegSrvc" wurde unerwartet beendet. Dies ist bereits 1 Mal 
passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "Cyberlink RichVideo Service(CRVS)" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "TomTomHOMEService" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Bluetooth Service" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "iPod-Dienst" wurde unerwartet beendet. Dies ist bereits 1 
Mal passiert.
 
Error - 22.03.2011 05:25:25 | Computer Name = DELL | Source = Service Control Manager | ID = 7034
Description = Dienst "ThreatFire" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
Error - 22.03.2011 05:29:18 | Computer Name = DELL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "General Purpose USB Driver (adildr.sys)" wurde aufgrund
 folgenden Fehlers nicht gestartet:   %%1058
 
Error - 22.03.2011 05:31:04 | Computer Name = DELL | Source = ipnathlp | ID = 30013
Description = Die DHCP-Zuweisung wurde für IP-Adresse 192.168.1.64 deaktiviert, 
da  die IP-Adresse außerhalb des Bereichs 192.168.0.0/255.255.255.0 liegt,  von der 
die Adressen DHCP-Clients zu gewiesen werden. Ändern  Sie den Bereich, sodass die 
IP-Adresse mit einbezogen wird,  oder ändern Sie die IP-Adresse, sodass sie innerhalb
 dieses  Bereichs liegt, um die DHCP-Zuweisung zu aktivieren.
 
 
< End of report >

--- --- ---
.. Vielen Dank für eure Hilfe und viele Grüße
Chrise

Jetzt versuch ich den GMER mal als gezippten Anhang zu posten....
....hoffentlich klappt es...

Viele Grüße Chrise

Hier noch der richtige OTL-Logfile, ..... sorry....

....war gestern abend noch fleissig und ahbe Malwarebyte laufen lasssen. Im Quickscan wurde tatsächlich was gefunden, das habe ich entfernt, siehe Anlage, im ausführlichen Scan nach Neustart war dann nichts mehr:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 6135
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
 
22.03.2011 22:38:05
mbam-log-2011-03-22 (22-38-04).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 227449
Laufzeit: 1 Stunde(n), 16 Minute(n), 27 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

War es das schon, oder muss ich noch mehr tun?
Ich habe alles im Normalmodus laufen lassen oder muss ich dazu
immer den abgesicherten Modus nutzen?
Ich habe übrgens auch eine vsnp2std.exe-Datei aus dem Sartmenü entfernt, eine tsntp2std.exe auch.

Viele Grüße Chrise

cosinus · 23.03.2011, 12:42

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

chrise · 23.03.2011, 13:37

Hallo Arne,

die, die noch drin sind, sind alle von Januar/Februar 2010, als ich mal ein rootkit-Problem hatte, bei dem Du mir auch schon mal geholfen hast...
http://www.trojaner-board.de/81749-r...analyse-2.html
Weitere aus der letzten Zeit habe ich leider nicht...

Viele Grüße
Chrise

cosinus · 23.03.2011, 13:52

Zitat:

O4 - HKLM..\Run: [combofix] File not found

Hast du CF zwischendurch von allein mal wieder ausgeführt?

chrise · 23.03.2011, 16:55

Neeee, das soll man doch nicht ohne Eure Aufforderung machen. Das ist mir zu gefährlich. Aber beim Hochfahren blitzt jedes Mal kurz so ein schwarzes Kästchen "als kleiner CF-Gruß auf" und verschwindet sofort wieder...

Viele Grüße
Chrise

chrise · 23.03.2011, 17:01

Hilfe, der Avira Scan meldet eine versteckte Datei in der Registry.....

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 23. März 2011  13:50

Es wird nach 2524605 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : DELL

Versionsinformationen:
BUILD.DAT      : 10.0.0.635     31822 Bytes  07.03.2011 12:02:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  12.12.2010 08:34:54
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.3.2      104296 Bytes  12.12.2010 08:34:55
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:50:19
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 12:56:13
VBASE003.VDF   : 7.11.3.1        2048 Bytes  09.02.2011 12:56:13
VBASE004.VDF   : 7.11.3.2        2048 Bytes  09.02.2011 12:56:13
VBASE005.VDF   : 7.11.3.3        2048 Bytes  09.02.2011 12:56:14
VBASE006.VDF   : 7.11.3.4        2048 Bytes  09.02.2011 12:56:16
VBASE007.VDF   : 7.11.3.5        2048 Bytes  09.02.2011 12:56:16
VBASE008.VDF   : 7.11.3.6        2048 Bytes  09.02.2011 12:56:17
VBASE009.VDF   : 7.11.3.7        2048 Bytes  09.02.2011 12:56:17
VBASE010.VDF   : 7.11.3.8        2048 Bytes  09.02.2011 12:56:17
VBASE011.VDF   : 7.11.3.9        2048 Bytes  09.02.2011 12:56:17
VBASE012.VDF   : 7.11.3.10       2048 Bytes  09.02.2011 12:56:17
VBASE013.VDF   : 7.11.3.59     157184 Bytes  14.02.2011 13:00:14
VBASE014.VDF   : 7.11.3.97     120320 Bytes  16.02.2011 13:00:15
VBASE015.VDF   : 7.11.3.148    128000 Bytes  19.02.2011 06:22:42
VBASE016.VDF   : 7.11.3.183    140288 Bytes  22.02.2011 06:22:44
VBASE017.VDF   : 7.11.3.216    124416 Bytes  24.02.2011 06:22:45
VBASE018.VDF   : 7.11.3.251    159232 Bytes  28.02.2011 06:22:46
VBASE019.VDF   : 7.11.4.33     148992 Bytes  02.03.2011 08:07:00
VBASE020.VDF   : 7.11.4.73     150016 Bytes  06.03.2011 06:15:32
VBASE021.VDF   : 7.11.4.108    122880 Bytes  08.03.2011 06:36:51
VBASE022.VDF   : 7.11.4.150    133120 Bytes  10.03.2011 06:36:52
VBASE023.VDF   : 7.11.4.183    122368 Bytes  14.03.2011 06:17:00
VBASE024.VDF   : 7.11.4.228    123392 Bytes  16.03.2011 14:08:58
VBASE025.VDF   : 7.11.5.8      246272 Bytes  21.03.2011 06:17:38
VBASE026.VDF   : 7.11.5.38     137216 Bytes  23.03.2011 12:48:39
VBASE027.VDF   : 7.11.5.39       2048 Bytes  23.03.2011 12:48:39
VBASE028.VDF   : 7.11.5.40       2048 Bytes  23.03.2011 12:48:39
VBASE029.VDF   : 7.11.5.41       2048 Bytes  23.03.2011 12:48:40
VBASE030.VDF   : 7.11.5.42       2048 Bytes  23.03.2011 12:48:40
VBASE031.VDF   : 7.11.5.43       2048 Bytes  23.03.2011 12:48:40
Engineversion  : 8.2.4.188 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  28.10.2010 07:31:19
AESCRIPT.DLL   : 8.1.3.57     1261947 Bytes  20.03.2011 14:09:21
AESCN.DLL      : 8.1.7.2       127349 Bytes  24.11.2010 11:49:38
AESBX.DLL      : 8.1.3.2       254324 Bytes  24.11.2010 11:49:40
AERDL.DLL      : 8.1.9.8       639346 Bytes  15.03.2011 06:17:14
AEPACK.DLL     : 8.2.4.12      520567 Bytes  15.03.2011 06:17:12
AEOFFICE.DLL   : 8.1.1.17      205177 Bytes  08.03.2011 06:15:41
AEHEUR.DLL     : 8.1.2.87     3371383 Bytes  20.03.2011 14:09:17
AEHELP.DLL     : 8.1.16.1      246134 Bytes  04.02.2011 06:23:45
AEGEN.DLL      : 8.1.5.3       397684 Bytes  20.03.2011 14:09:06
AEEMU.DLL      : 8.1.3.0       393589 Bytes  24.11.2010 11:49:30
AECORE.DLL     : 8.1.19.2      196983 Bytes  21.01.2011 06:19:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  28.10.2010 07:30:58
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.2       53096 Bytes  06.11.2010 07:27:10
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  12.12.2010 08:34:55
AVARKT.DLL     : 10.0.22.6     231784 Bytes  12.12.2010 08:34:44
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  06.11.2010 07:27:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 23. März 2011  13:50

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'AcroRd32.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess '1XConfig.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Voipwise.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZcfgSvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKeeper.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '174' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1851' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <New Volume>


Ende des Suchlaufs: Mittwoch, 23. März 2011  15:31
Benötigte Zeit:  1:41:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  10019 Verzeichnisse wurden überprüft
 417247 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 417247 Dateien ohne Befall
   3079 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 539284 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

cosinus · 23.03.2011, 17:31

Den versteckten Eintrag kannste ignorieren. Ich weiß nicht, warum AntiVir so hysterisch ist, macht es nicht zum 1. mal sowas

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

chrise · 23.03.2011, 18:51

CC-Cleaner habe ich abgearbeitet, aber Combofix will nicht. Habe ihn neu heruntergeladen und auf dem Desktop gespeichert. Wenn ich sarte erscheint ein kleines Fenster mit Fortschrittsbalken, dann verschwindet es und stattdessen kommt ein Fenster, indem mir gesagt wird , dass zuviel Zeit gebraucht wird um c: 32788R22FWJFW License... (weiter kann man nicht lesen) zu beenden. Ich kann nur sofort beenden oder abbrechen, abbrechen funktioniert nicht. Ich habe kein Programm mehr aktiv geöffnet, der Taskmanager sit auch leer, was hakt denn da?

Viele Grüße Chrise

PS Sollte ich meine externe Festplatte/Stick nicht auch noch mit anhängen???

cosinus · 23.03.2011, 20:32

Zitat:

PS Sollte ich meine externe Festplatte/Stick nicht auch noch mit anhängen???

Nein lass das mal sein - starte Windows neu und lad die cofi.exe neu herunter, probier es dann nochmal.

chrise · 23.03.2011, 22:04

Nützt nichts....

Das geiche "Programm beenden" Fenster erscheint wieder. Ich habe diese Datei gesucht, sie ist im Combofix-Ordner....
Sol ich es mal im abgesicherten Modus versuchen?

Gute Nacht

Chrise

cosinus · 23.03.2011, 22:13

Ja, probier mal aus

chrise · 24.03.2011, 08:24

Guten Morgen,
im abgesicherten Modus ging es dann auch weiter, allerdings wurde ich gewarnt, dass noch zwei Virenprogramme aktiv seien: Avira und AVG. Avira hatte ich deaktiviert und AVG habe ich schon vor einem Jahr rausgeschmissen, sogar mit einem extra-Entfernungsprogramm. Ich habe dennoch mal dananch gesucht, da war aber nichst mehr. Threatfire habe ich auch deinstalliert, denn eer scheint ja doch jemanden in meine Registry gelassen zu haben, ist also sinnlos. Nun funktioniert Cofi auch im Normalmodus, er behauptet aber immer noch, AVG sei aktiv, Weitermachen nur auf mein Risiko... Was soll ich tun?

Danke Chrise

cosinus · 24.03.2011, 10:20

Wenn AVG wirklich weg ist, kannst du es fortsetzen.

chrise · 24.03.2011, 12:01

Geschafft da ist er:... komisch nur, dass der threatfire noch drin ist... Und was hat die russische Raiffeisenbank bei mir verloren???

Code:

ATTFilter

ComboFix 11-03-23.04 - Scheidt 24.03.2011  11:38:42.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.503.284 [GMT 1:00]
ausgeführt von:: c:\documents and settings\Scheidt\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AVG Anti-Virus Free *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\documents and settings\***\Application Data\inst.exe
c:\windows\pi.exe
c:\windows\system32\1.tmp
c:\windows\system32\winlogon.bak
.
-- Vorheriger Suchlauf --
.
Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 
.
--------
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-24 bis 2011-03-24  ))))))))))))))))))))))))))))))
.
.
2011-03-24 07:05 . 2011-03-24 07:05	--------	d-----w-	c:\windows\LastGood
2011-03-22 19:36 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-22 19:36 . 2011-03-22 19:50	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-22 19:36 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-22 09:40 . 2011-03-22 09:40	--------	d-----w-	c:\program files\ERUNT
2011-03-12 11:28 . 2011-03-12 11:28	103864	----a-w-	c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-03-12 11:28 . 2011-03-12 11:28	103864	----a-w-	c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
2011-03-05 10:31 . 2011-03-05 10:31	--------	d-----w-	c:\program files\Common Files\Skype
2011-03-03 07:28 . 2011-03-03 07:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Aldi Nord Fotoservice
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-20 14:09 . 2010-03-16 15:00	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-03 07:27 . 2008-11-15 15:09	447119	-c--a-w-	c:\documents and settings\Scheidt\Application Data\mdbu.bin
2011-02-09 13:53 . 2002-08-29 12:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2002-08-29 12:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2006-09-19 21:15	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2006-09-19 21:15	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2002-08-29 12:00	439296	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 13:10 . 2008-08-28 06:38	1854976	----a-w-	c:\windows\system32\win32k.sys
2009-11-24 12:14 . 2009-11-24 12:14	10437264	----a-w-	c:\program files\mozilla firefox\plugins\PDFNetC.dll
2009-11-28 11:10 . 2009-11-28 11:10	107760	----a-w-	c:\program files\mozilla firefox\plugins\ScorchPDFWrapper.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Voipwise"="c:\program files\Voipwise.com\Voipwise\Voipwise.exe" [2010-12-21 12900144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-07-22 20:46	110592	----a-w-	c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Anleitung.exe]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Anleitung.exe
backup=c:\windows\pss\Anleitung.exeCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Bluetooth Manager.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Bluetooth Manager.lnk
backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^DSLMON.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44	35760	----a-w-	c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_NORD_FotoSuite_Download]
2008-11-11 10:54	1257472	----a-w-	c:\program files\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2010-12-14 16:17	47904	----a-w-	c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-05-29 17:41	149040	-c--a-w-	c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 04:42	110592	----a-w-	c:\windows\system32\bthprops.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
2005-07-19 16:06	77824	----a-w-	c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
2005-07-19 16:10	114688	----a-w-	c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
2005-07-19 16:09	94208	----a-w-	c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2005-07-22 20:47	385024	-c--a-w-	c:\program files\Intel\Wireless\Bin\iFrmewrk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
2005-07-22 20:46	401408	----a-w-	c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-12-13 16:16	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-05-24 15:38	1226288	-c--a-w-	c:\program files\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
2007-05-29 17:41	149040	-c--a-w-	c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2005-08-24 05:42	393216	-c--a-w-	c:\windows\stsystra.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2std]
2006-09-15 12:21	675840	----a-w-	c:\windows\vsnp2std.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-06-24 12:36	729178	-c--a-w-	c:\program files\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-10-12 11:28	198160	----a-w-	c:\program files\Common Files\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-11-13 11:31	247144	----a-w-	c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnp2std]
2006-11-02 13:04	258048	-c--a-w-	c:\windows\tsnp2std.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WireLessKeyboard]
2005-11-30 11:48	94208	-c--a-w-	c:\program files\12025SC Kabellose Multimedia Tastatur und Maus Set\StartAutorun.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WireLessMouse]
2005-11-30 11:48	94208	-c--a-w-	c:\program files\12025SC Kabellose Multimedia Tastatur und Maus Set\StartAutorun.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
"gupdate1c9b2e4b3c3a1c0"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Voipwise.com\\Voipwise\\Voipwise.exe"=
"c:\\Program Files\\devolo\\informer\\devinf.exe"=
"c:\\Program Files\\devolo\\easyshare\\easyshare.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Home Cinema\\PowerDirector\\PDR.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Documents and Settings\\*****\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [09.01.2010 22:16 1858144]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [16.03.2010 16:00 135336]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]
S0 pjffi;pjffi;c:\windows\system32\drivers\vocddb.sys --> c:\windows\system32\drivers\vocddb.sys [?]
S2 gupdate1c9b2e4b3c3a1c0;Google Update Service (gupdate1c9b2e4b3c3a1c0);c:\program files\Google\Update\GoogleUpdate.exe [01.04.2009 17:12 133104]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\6.tmp --> c:\windows\system32\6.tmp [?]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]
S3 TridVid;Video Grabber;c:\windows\system32\drivers\tridvid.sys [11.02.2009 11:08 99200]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-01 16:12]
.
2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-01 16:12]
.
2011-03-24 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.wetter.de/wetter/vorhersage/tage/Italien/Wetter-Rom/md5/9022ec3fa077f89a211761da2ed1c0cd/step/1
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: raiffeisenbank.rs\rol
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {73848533-39E1-49F1-9363-28054268C094} - hxxps://rol.raiffeisenbank.rs/RetailDLL/FSINT9.dll
FF - ProfilePath - c:\documents and settings\Scheidt\Application Data\Mozilla\Firefox\Profiles\83dqc3cs.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wetter.de/wettervorhersage/39-7626-24-tage/wetter-rom.html
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-avgrsstarter - avgrsstx.dll
MSConfigStartUp-2kadiras - 2kadiras.exe
MSConfigStartUp-9xadiras - 9xadiras.exe
MSConfigStartUp-Device Detection - c:\program files\fotokasten comfort - Tchibo Edition\dd.exe
AddRemove-HijackThis - E:\HijackThis.exe
AddRemove-Luka - c:\program files\Luka\uninstall.exe
AddRemove-Sophos-AntiRootkit - c:\program files\Otto\Otto\helper.exe
AddRemove-TIPP10_is1 - c:\program files\Tipp10\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-24 11:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\6.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1659004503-1972579041-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-1659004503-1972579041-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:81,eb,43,cb,ab,d9,6e,85,0c,bb,a2,6f,c5,b3,47,de,47,53,28,b6,e9,ea,94,
   1c,86,0a,6b,a3,cd,f7,f6,5b,da,cf,5a,77,d7,7e,ba,fb,5b,87,4d,92,85,f3,47,39,\
"??"=hex:b3,e5,ec,f2,c0,2b,19,b1,ef,90,4b,31,6a,6c,0f,1e
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•A~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1032)
c:\program files\Intel\Wireless\Bin\LgNotify.dll
c:\program files\ThreatFire\TFMon.dll
c:\program files\ThreatFire\TFRK.dll
c:\windows\system32\igfxdev.dll
.
- - - - - - - > 'explorer.exe'(1216)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-03-24  11:50:44
ComboFix-quarantined-files.txt  2011-03-24 10:50
.
Vor Suchlauf: 2.783.219.712 bytes free
Nach Suchlauf: 2.887.856.128 Bytes frei
.
- - End Of File - - 18A4E66CE7F856ACC70FFF5BBF71792A

cosinus · 24.03.2011, 12:31

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Seccenter::
AV: AVG Anti-Virus Free *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

File::
c:\windows\system32\drivers\vocddb.sys
c:\windows\system32\6.tmp 

Driver::
pjffi
MEMSWEEP2

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

23.03.2011, 12:42	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	1.Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden... Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ __________________

23.03.2011, 22:13	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	1.Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden... Ja, probier mal aus __________________ Logfiles bitte immer in CODE-Tags posten

24.03.2011, 10:20	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	1.Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden... Wenn AVG wirklich weg ist, kannst du es fortsetzen. __________________ Logfiles bitte immer in CODE-Tags posten

1.Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden...

Plagegeister aller Art und deren Bekämpfung: 1.Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden...