Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen (https://www.trojaner-board.de/103425-tr-spy-agent-l-meldet-malwarebytes-verbindungen-ip-adressen.html)

trexer 15.09.2011 15:05
TR/Spy.Agent.L und jetzt meldet Malwarebytes Verbindungen zu IP-Adressen
 
Hallo!

Auf dem Rechner von einer Feundin war nach einem Scan mit Antivir der Virus TR/Spy.Agent.L gefunden worden. Allerdings nur im Ordner "System Volume Information". Ich hab die Systemwiederherstellung deaktiviert, neu gestartet und wieder aktviert -> Problem für Antivir behoben.

Antvir Log:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. September 2011  16:08

Es wird nach 3345840 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : USER-87A2E8B98C

Versionsinformationen:
BUILD.DAT      : 10.2.0.700    35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE    : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL    : 10.0.5.0      57192 Bytes  21.07.2011 10:10:57
LUKE.DLL      : 10.3.0.5      45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9      90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 09:37:00
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 09:37:00
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 09:37:00
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 09:37:00
VBASE004.VDF  : 7.11.8.178  2354176 Bytes  31.05.2011 09:37:00
VBASE005.VDF  : 7.11.10.251  1788416 Bytes  07.07.2011 09:37:00
VBASE006.VDF  : 7.11.13.60  6411776 Bytes  16.08.2011 09:37:00
VBASE007.VDF  : 7.11.13.61      2048 Bytes  16.08.2011 09:37:00
VBASE008.VDF  : 7.11.13.62      2048 Bytes  16.08.2011 09:37:00
VBASE009.VDF  : 7.11.13.63      2048 Bytes  16.08.2011 09:37:00
VBASE010.VDF  : 7.11.13.64      2048 Bytes  16.08.2011 09:37:00
VBASE011.VDF  : 7.11.13.65      2048 Bytes  16.08.2011 09:37:00
VBASE012.VDF  : 7.11.13.66      2048 Bytes  16.08.2011 09:37:00
VBASE013.VDF  : 7.11.13.95    166400 Bytes  17.08.2011 09:37:00
VBASE014.VDF  : 7.11.13.125  209920 Bytes  18.08.2011 09:37:00
VBASE015.VDF  : 7.11.13.157  184832 Bytes  22.08.2011 09:37:00
VBASE016.VDF  : 7.11.13.201  128000 Bytes  24.08.2011 09:37:00
VBASE017.VDF  : 7.11.13.234  160768 Bytes  25.08.2011 09:37:00
VBASE018.VDF  : 7.11.14.16    141312 Bytes  30.08.2011 09:37:00
VBASE019.VDF  : 7.11.14.48    133120 Bytes  31.08.2011 09:37:00
VBASE020.VDF  : 7.11.14.78    156160 Bytes  02.09.2011 09:37:00
VBASE021.VDF  : 7.11.14.109  126976 Bytes  06.09.2011 09:37:00
VBASE022.VDF  : 7.11.14.137  131584 Bytes  08.09.2011 09:37:00
VBASE023.VDF  : 7.11.14.138    2048 Bytes  08.09.2011 09:37:00
VBASE024.VDF  : 7.11.14.139    2048 Bytes  08.09.2011 09:37:00
VBASE025.VDF  : 7.11.14.140    2048 Bytes  08.09.2011 09:37:00
VBASE026.VDF  : 7.11.14.141    2048 Bytes  08.09.2011 09:37:00
VBASE027.VDF  : 7.11.14.142    2048 Bytes  08.09.2011 09:37:00
VBASE028.VDF  : 7.11.14.143    2048 Bytes  08.09.2011 09:37:00
VBASE029.VDF  : 7.11.14.144    2048 Bytes  08.09.2011 09:37:00
VBASE030.VDF  : 7.11.14.145    2048 Bytes  08.09.2011 09:37:00
VBASE031.VDF  : 7.11.14.146    2048 Bytes  08.09.2011 09:37:00
Engineversion  : 8.2.6.54 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  08.09.2011 09:36:58
AESCRIPT.DLL  : 8.1.3.76    1626490 Bytes  08.09.2011 09:36:58
AESCN.DLL      : 8.1.7.2      127349 Bytes  08.09.2011 09:36:58
AESBX.DLL      : 8.2.1.34      323957 Bytes  08.09.2011 09:36:58
AERDL.DLL      : 8.1.9.13      639349 Bytes  08.09.2011 09:36:58
AEPACK.DLL    : 8.2.10.10    684407 Bytes  08.09.2011 09:36:58
AEOFFICE.DLL  : 8.1.2.13      201083 Bytes  08.09.2011 09:36:58
AEHEUR.DLL    : 8.1.2.164    3654007 Bytes  08.09.2011 09:36:58
AEHELP.DLL    : 8.1.17.7      254327 Bytes  08.09.2011 09:36:58
AEGEN.DLL      : 8.1.5.9      401780 Bytes  08.09.2011 09:36:58
AEEMU.DLL      : 8.1.3.0      393589 Bytes  08.09.2011 09:36:58
AECORE.DLL    : 8.1.23.0      196983 Bytes  08.09.2011 09:36:58
AEBB.DLL      : 8.1.1.0        53618 Bytes  08.09.2011 09:36:58
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL    : 10.0.3.2      44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10    174120 Bytes  08.09.2011 09:37:00
AVARKT.DLL    : 10.0.26.1    255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL  : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0      11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL    : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 12. September 2011  16:08

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1644491937-1425521274-839522115-1004\Software\SecuROM\License information\datasecu
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1644491937-1425521274-839522115-1004\Software\SecuROM\License information\rkeysecu
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIACE.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '920' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <1. Festplatte>
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2027942.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2029571.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2032605.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2034131.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2035041.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2036564.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2040530.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042059.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042967.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2044489.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2048431.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2049957.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2050867.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2052392.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2056355.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2057884.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2058792.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2060314.exe
  [0] Archivtyp: NSIS
  --> [UnknownDir]/Morpheus/[UnknownDir]/Mutex.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
Beginne mit der Suche in 'D:\' <2. Festplatte>
Beginne mit der Suche in 'E:\' <RECOVER>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2060314.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaa8d8f.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2058792.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '523da228.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2057884.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0062f8c0.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2056355.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6655b702.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2052392.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '23d19a3c.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2050867.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ccaa85d.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2049957.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '10728414.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2048431.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6c6ac444.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2044489.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4130eb09.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042967.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5858d093.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2042059.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3404fca4.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2040530.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45bdc531.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2036564.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba7f5f4.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2035041.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0e8e8cb7.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2034131.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07858823.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2032605.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5fc4914a.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2029571.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7330e887.qua' verschoben!
C:\System Volume Information\_restore{30078B51-2CE3-4141-BC5D-AA07640F080F}\RP929\A2027942.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.L
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dce885d.qua' verschoben!


Ende des Suchlaufs: Montag, 12. September 2011  17:44
Benötigte Zeit:  1:21:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  5796 Verzeichnisse wurden überprüft
 656926 Dateien wurden geprüft
    18 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
    18 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 656908 Dateien ohne Befall
  4776 Archive wurden durchsucht
      0 Warnungen
    20 Hinweise
 344769 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden
Hab danach mal das SP3 installieret und alle Microsoft-Updates...
Zur Sicherheit hab ich jetzt Malwarebytes Anti-Malware laufen lassen und der fand auch noch eine einzige Kleinigkeit.
Log Malwarbytes:
Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7710

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.09.2011 21:49:11
mbam-log-2011-09-13 (21-49-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 180585
Laufzeit: 7 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Fullscan:
Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7710

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.09.2011 22:53:04
mbam-log-2011-09-13 (22-53-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 252858
Laufzeit: 57 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seltsam war dann, das Matlwarebytes in der Taskleiste dauernd Verbindungen zu und von IP Adressen geblockt hat:
21:44:44 User IP-BLOCK 83.243.11.176 (Type: outgoing)
21:44:56 User IP-BLOCK 83.243.11.168 (Type: outgoing)

Completter Log:
Code:
21:40:20        User        MESSAGE        Protection started successfully
21:40:35        User        MESSAGE        IP Protection started successfully
21:42:19        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:42:22        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:42:28        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:42:40        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:42:43        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:42:49        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:43:05        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:43:08        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:43:14        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:43:26        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:43:29        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:43:35        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:43:50        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:43:53        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:43:59        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:44:11        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:44:14        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:44:20        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:44:35        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:44:38        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:44:44        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:44:56        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:44:59        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:45:05        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:45:20        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:45:23        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:45:29        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:45:41        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:45:44        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:45:50        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:46:05        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:46:08        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:46:14        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:46:26        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:46:29        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:46:35        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:46:50        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:46:53        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:46:59        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:47:11        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:47:14        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:47:20        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:47:35        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:47:38        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:47:44        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:47:56        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:47:59        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:48:05        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:48:21        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:48:24        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:48:30        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:48:42        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:48:45        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:48:51        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:49:07        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:49:10        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:49:16        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:49:28        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:49:31        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:49:37        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:49:52        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:49:55        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:50:01        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:50:13        (null)        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:50:16        (null)        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:50:22        (null)        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:52:41        User        MESSAGE        Protection started successfully
21:52:57        User        MESSAGE        IP Protection started successfully
21:53:38        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:53:41        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:53:47        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:53:59        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:54:02        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:54:02        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:05        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:08        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:54:11        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:23        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:54:26        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:26        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:54:28        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:32        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:54:34        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:47        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:54:47        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:50        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:54:50        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:54:55        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:54:56        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:08        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:55:11        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:55:12        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:55:15        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:55:17        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:55:21        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:55:33        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:33        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:35        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:36        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:41        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:42        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:55:53        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:55:56        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:55:57        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:56:00        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:56:02        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:56:06        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:56:17        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:56:18        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:56:20        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:56:21        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:56:26        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:56:27        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:56:38        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:56:41        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:56:45        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:56:47        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:56:48        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:56:54        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:57:03        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:57:05        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:57:06        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:09        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:11        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:57:15        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:23        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:26        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:29        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:31        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:32        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:37        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:57:49        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:57:52        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:57:58        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
22:02:52        User        ERROR        Scheduled update failed:  No address found failed with error code 11004
Code:
14:49:08        (null)        MESSAGE        Protection started successfully
14:49:20        User        MESSAGE        IP Protection started successfully
21:32:40        (null)        MESSAGE        Protection started successfully
21:33:08        User        MESSAGE        IP Protection started successfully
21:33:08        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:09        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:33:09        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:11        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:13        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:17        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:33:18        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:20        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:33:26        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:33:26        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:33        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:38        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:33:41        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:33:43        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:33:47        User        IP-BLOCK        83.243.11.171 (Type: outgoing)
21:33:55        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:33:57        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:34:03        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:34:15        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:34:15        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:34:19        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:34:24        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:34:33        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:34:36        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:34:40        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:34:42        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:34:43        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:34:49        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:34:54        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:34:57        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:35:01        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:35:03        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:35:04        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:35:10        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:35:16        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:35:16        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:35:19        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:35:25        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:35:25        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:35:28        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:35:34        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:35:37        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:35:40        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:35:46        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:35:46        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:35:49        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:35:55        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:35:59        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:36:02        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:36:08        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:36:10        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:36:13        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:36:16        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:36:19        User        IP-BLOCK        83.243.11.168 (Type: outgoing)
21:36:20        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:36:23        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:36:29        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:36:31        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:36:34        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:36:40        User        IP-BLOCK        83.243.11.176 (Type: outgoing)
21:36:42        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:36:45        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:36:51        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:36:56        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:36:59        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:03        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:05        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:06        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:12        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:17        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:37:17        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:37:20        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:37:25        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:37:26        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:37:28        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:37:34        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:37:41        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:44        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:46        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:49        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:50        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:37:55        User        IP-BLOCK        83.243.11.169 (Type: outgoing)
21:38:02        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:38:05        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:38:08        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:38:11        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:38:11        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:38:17        User        IP-BLOCK        83.243.11.177 (Type: outgoing)
21:38:17        User        IP-BLOCK        83.243.11.177 (Type: incoming)
21:38:26        User        IP-BLOCK        83.243.11.170 (Type: outgoing)
21:38:28        User        MESSAGE        IP Protection stopped

Ist also noch etwas auf dem Rechner drauf das nach-hause-telefoniert? Vielen Dank für jeden Tip.

OTL hätte ich gerne gepostet aber es stürzt jedes mal bei "Looking for newly crated file: C:\windows\winhelp.exe" ab -> nichts tut sich, Rechner muss neu gestartet werden.
Hier die Log aus GMER:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-15 15:46:31
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3200021A rev.3.01
Running: wmfy7so5.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\pgxdraoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7C8195C                  ZwClose
SSDT            F7C81916                  ZwCreateKey
SSDT            F7C81966                  ZwCreateSection
SSDT            F7C8190C                  ZwCreateThread
SSDT            F7C8191B                  ZwDeleteKey
SSDT            F7C81925                  ZwDeleteValueKey
SSDT            F7C81957                  ZwDuplicateObject
SSDT            F7C8192A                  ZwLoadKey
SSDT            F7C818F8                  ZwOpenProcess
SSDT            F7C818FD                  ZwOpenThread
SSDT            F7C81934                  ZwReplaceKey
SSDT            F7C8192F                  ZwRestoreKey
SSDT            F7C8196B                  ZwSetContextThread
SSDT            F7C81920                  ZwSetValueKey
SSDT            F7C81907                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Vielen Dank!

cosinus 15.09.2011 15:23
Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


trexer 15.09.2011 18:42
Hi, Danke für dein Antwort. Hier der Scan:

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=b663869189e1a54791b39455979f8491
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-15 05:05:47
# local_time=2011-09-15 07:05:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 3754 3754 0 0
# compatibility_mode=1797 16775145 100 98 262632 90995444 255397 0
# compatibility_mode=8192 67108863 100 0 461 461 0 0
# compatibility_mode=9217 16777214 0 4 59454479 59454479 0 0
# scanned=78437
# found=4
# cleaned=0
# scan_time=7487
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\DE\ACSLAN~1.EXE        probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)        00000000000000000000000000000000        I
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\DE\acssetup.exe        probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)        00000000000000000000000000000000        I
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\Suite\comps\acslang.exe        probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)        00000000000000000000000000000000        I
C:\Programme\Gemeinsame Dateien\aol\Backup\ACS\Rollback\Suite\comps\acslang_de.exe        probably a variant of Win32/StartPage.HSZAKFT trojan (unable to clean)        00000000000000000000000000000000        I
Hab die erste Datei "ACSLAN~1.EXE" mal zu Virustotal.com geschickt. 7 von 41 sagen dort das es ein Trojaner ist...

cosinus 15.09.2011 18:45
Gehört zur AOL-Software :balla:
Warum tut sich deine Freundin diesen Müll eigentlich freiwillig an? :confused:

trexer 15.09.2011 18:47
Gute Frage, denke nicht das sie es überhaupt braucht.... Ausreden könnten vielseitig sein... z.B. weil der Rechner schon sehr alt ist und vorher von ihrer Familie genutzt wurde... Wie dem auch sei, ich schmeiß es runter.

Sieht sonst ganz gut aus oder?

cosinus 15.09.2011 18:52
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

trexer 15.09.2011 19:10
Mh OTL hängt grade wieder bei "Looking for newly created file: C:\windows\winhelp.exe"... Keine aktivität mehr von der Festplatte... Ich geb ihm noch ein paar Minuten?

trexer 15.09.2011 20:09
Ok hängt seit über einer Stunde bei "Looking for newly created file: C:\windows\winhelp.exe".... Oben steht jetzt in der Leiste (Keine Rückmeldung). Irgendeine Idee?
Danke!

cosinus 15.09.2011 20:26
Starte neu und probier es nochmal bitte.

trexer 15.09.2011 21:54
So habs. Wollte die Winhelp.exe zu Virustotal laden -> ging nicht weil Lesefehler. Hab dann von einem gleichem WinXpSP3 Rechner die Winhelp.exe kopiert. Danach ging der Scan. Datei ist im Anhang.

cosinus 16.09.2011 12:55
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
[2011.09.13 21:33:48 | 000,002,406 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\askcom.xml
[2011.09.02 20:40:09 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-1.xml
[2010.04.05 09:39:56 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-10.xml
[2010.07.09 13:12:14 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-11.xml
[2011.08.18 17:07:29 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-12.xml
[2011.08.20 08:37:35 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-13.xml
[2011.08.29 08:18:59 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-14.xml
[2011.08.29 18:07:24 | 000,000,656 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-15.xml
[2011.09.13 21:37:36 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-16.xml
[2008.11.23 17:08:26 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-2.xml
[2008.12.17 19:32:42 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-3.xml
[2009.02.09 20:32:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-4.xml
[2009.03.15 20:39:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-5.xml
[2009.03.29 18:14:15 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-6.xml
[2009.04.28 10:19:34 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-7.xml
[2009.05.11 22:27:44 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-8.xml
[2010.04.03 18:02:50 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-9.xml
[2008.09.15 12:59:42 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin.xml
[2008.08.31 12:34:23 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15924
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.05.02 13:40:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{9db56ad1-8fc8-11dd-bf7b-00038a000015}\Shell\AutoRun\command - "" = F:\Menu.exe
[2011.09.14 22:29:43 | 000,000,000 | -HSD | C] -- C:\found.000
[2011.09.14 21:38:38 | 000,000,000 | ---D | C] -- C:\.Trash-999
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

trexer 16.09.2011 13:19
hier das ergebnis:
Code:
All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\askcom.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-1.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-10.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-11.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-12.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-13.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-14.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-15.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-16.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-2.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-3.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-4.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-5.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-6.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-7.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-8.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin-9.xml moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\searchplugins\icqplugin.xml moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\search_engine folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\META-INF folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults\preferences folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\components folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} folder moved successfully.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Ask.com" removed from browser.search.selectedEngine
Prefs.js: toolbar@ask.com:3.11.3.15924 removed from extensions.enabledItems
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9db56ad1-8fc8-11dd-bf7b-00038a000015}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9db56ad1-8fc8-11dd-bf7b-00038a000015}\ not found.
File F:\Menu.exe not found.
C:\found.000\dir0000.chk\snapshot\Repository\FS folder moved successfully.
C:\found.000\dir0000.chk\snapshot\Repository folder moved successfully.
C:\found.000\dir0000.chk\snapshot folder moved successfully.
C:\found.000\dir0000.chk folder moved successfully.
C:\found.000 folder moved successfully.
C:\.Trash-999\info folder moved successfully.
C:\.Trash-999\files folder moved successfully.
C:\.Trash-999\expunged folder moved successfully.
C:\.Trash-999 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 64177 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 195833 bytes
 
User: TEMP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: TEMP(2).USER-87A2E8B98C
 
User: TEMP(3).USER-87A2E8B98C
 
User: Tina
 
User: User
->Temp folder emptied: 2018798356 bytes
->Temporary Internet Files folder emptied: 34021405 bytes
->Java cache emptied: 7581165 bytes
->FireFox cache emptied: 38491590 bytes
->Flash cache emptied: 53780 bytes
 
%systemdrive% .tmp files removed: 393220 bytes
%systemroot% .tmp files removed: 29830083 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 25247923 bytes
RecycleBin emptied: 781917560 bytes
 
Total Files Cleaned = 2.801,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.28.0 log created on 09162011_135729

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 16.09.2011 13:47
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

trexer 16.09.2011 13:54
Ok hier die Log:
Code:
2011/09/16 14:39:15.0531 0264        TDSS rootkit removing tool 2.5.22.0 Sep 13 2011 15:55:17
2011/09/16 14:39:15.0796 0264        ================================================================================
2011/09/16 14:39:15.0796 0264        SystemInfo:
2011/09/16 14:39:15.0796 0264       
2011/09/16 14:39:15.0796 0264        OS Version: 5.1.2600 ServicePack: 3.0
2011/09/16 14:39:15.0796 0264        Product type: Workstation
2011/09/16 14:39:15.0796 0264        ComputerName: USER-87A2E8B98C
2011/09/16 14:39:15.0796 0264        UserName: User
2011/09/16 14:39:15.0796 0264        Windows directory: C:\WINDOWS
2011/09/16 14:39:15.0796 0264        System windows directory: C:\WINDOWS
2011/09/16 14:39:15.0796 0264        Processor architecture: Intel x86
2011/09/16 14:39:15.0796 0264        Number of processors: 2
2011/09/16 14:39:15.0796 0264        Page size: 0x1000
2011/09/16 14:39:15.0796 0264        Boot type: Normal boot
2011/09/16 14:39:15.0796 0264        ================================================================================
2011/09/16 14:39:17.0500 0264        Initialize success
2011/09/16 14:39:27.0921 3156        ================================================================================
2011/09/16 14:39:27.0921 3156        Scan started
2011/09/16 14:39:27.0921 3156        Mode: Manual;
2011/09/16 14:39:27.0921 3156        ================================================================================
2011/09/16 14:39:30.0218 3156        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/16 14:39:30.0703 3156        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/09/16 14:39:31.0593 3156        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/09/16 14:39:32.0093 3156        AFD            (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/09/16 14:39:32.0546 3156        agp440          (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/09/16 14:39:34.0359 3156        ALCXWDM        (7af684ef7bb16f03def7a000f3d2cfb9) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/09/16 14:39:35.0875 3156        Arp1394        (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/09/16 14:39:37.0453 3156        ASCTRM          (d880831279ed91f9a4190a2db9539ea9) C:\WINDOWS\system32\drivers\ASCTRM.sys
2011/09/16 14:39:37.0921 3156        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/16 14:39:38.0406 3156        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/16 14:39:39.0718 3156        ati2mtag        (492bd2a5f65f218d4ede5764a3bb67e9) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/09/16 14:39:40.0671 3156        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/16 14:39:41.0125 3156        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/16 14:39:41.0265 3156        avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/09/16 14:39:41.0671 3156        avgntflt        (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/09/16 14:39:42.0156 3156        avipbb          (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/09/16 14:39:42.0609 3156        AVMWAN          (c997af59c54d69232fb7bbea4dad86e2) C:\WINDOWS\system32\DRIVERS\avmwan.sys
2011/09/16 14:39:43.0078 3156        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/16 14:39:43.0593 3156        Cap7134        (fdfe848c821f0666c4507a11717146c2) C:\WINDOWS\system32\DRIVERS\Cap7134.sys
2011/09/16 14:39:44.0156 3156        CardReaderFilter (b2cec14780842613f9495171a5f73c2c) C:\WINDOWS\system32\Drivers\USBCRFT.SYS
2011/09/16 14:39:44.0593 3156        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/16 14:39:45.0031 3156        CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/09/16 14:39:45.0890 3156        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/09/16 14:39:46.0328 3156        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/16 14:39:46.0812 3156        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/09/16 14:39:48.0296 3156        cmuda          (b7d9e7d64c1fd830856807e63356178d) C:\WINDOWS\system32\drivers\cmuda.sys
2011/09/16 14:39:50.0171 3156        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/16 14:39:50.0906 3156        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/16 14:39:51.0640 3156        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/16 14:39:52.0062 3156        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/16 14:39:52.0500 3156        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/09/16 14:39:53.0312 3156        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/09/16 14:39:53.0812 3156        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/16 14:39:54.0265 3156        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/09/16 14:39:54.0687 3156        FETNDISB        (cc6b6df3c35c20531492e1b700f700fa) C:\WINDOWS\system32\DRIVERS\fetnd5b.sys
2011/09/16 14:39:55.0156 3156        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/16 14:39:55.0562 3156        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/09/16 14:39:56.0078 3156        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/09/16 14:39:56.0703 3156        fpcibase        (45b5129aeae91ea096a9bbebff99e098) C:\WINDOWS\system32\DRIVERS\fpcibase.sys
2011/09/16 14:39:57.0250 3156        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/16 14:39:57.0671 3156        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/16 14:39:58.0125 3156        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/16 14:39:58.0562 3156        hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/16 14:39:59.0468 3156        HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/16 14:40:00.0859 3156        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\drivers\i8042prt.sys
2011/09/16 14:40:01.0515 3156        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/16 14:40:01.0937 3156        incdrm          (195a22bc8674090ccce5c3e2b7d96aca) C:\WINDOWS\system32\drivers\incdrm.sys
2011/09/16 14:40:02.0781 3156        IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/09/16 14:40:03.0234 3156        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/16 14:40:03.0890 3156        Intels51        (6d9095383cfdc7a47b85c89ef1e38206) C:\WINDOWS\system32\DRIVERS\ctxs51.sys
2011/09/16 14:40:04.0531 3156        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/09/16 14:40:04.0984 3156        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/16 14:40:05.0375 3156        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/09/16 14:40:05.0828 3156        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/16 14:40:06.0296 3156        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/09/16 14:40:06.0703 3156        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/16 14:40:07.0171 3156        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/16 14:40:07.0593 3156        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/16 14:40:07.0984 3156        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/09/16 14:40:08.0406 3156        Klmc            (7a571f169ce84a28f89efcd8047a96cd) C:\WINDOWS\system32\drivers\klmc.sys
2011/09/16 14:40:08.0875 3156        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/09/16 14:40:09.0390 3156        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/16 14:40:10.0218 3156        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/16 14:40:10.0671 3156        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/16 14:40:11.0078 3156        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/16 14:40:11.0531 3156        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/16 14:40:11.0953 3156        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/16 14:40:12.0875 3156        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/16 14:40:13.0468 3156        MRxSmb          (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/09/16 14:40:14.0062 3156        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/16 14:40:14.0468 3156        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/09/16 14:40:14.0906 3156        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/09/16 14:40:15.0312 3156        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/09/16 14:40:15.0765 3156        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/16 14:40:16.0203 3156        MSTEE          (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/09/16 14:40:16.0625 3156        Mup            (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/16 14:40:17.0109 3156        NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/09/16 14:40:17.0625 3156        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/16 14:40:18.0078 3156        NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/09/16 14:40:18.0500 3156        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/09/16 14:40:18.0937 3156        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/09/16 14:40:19.0390 3156        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/09/16 14:40:19.0828 3156        NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/16 14:40:20.0250 3156        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/09/16 14:40:20.0703 3156        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/16 14:40:21.0234 3156        NIC1394        (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/09/16 14:40:21.0671 3156        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/16 14:40:22.0250 3156        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/16 14:40:22.0890 3156        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/09/16 14:40:23.0312 3156        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/09/16 14:40:23.0750 3156        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/09/16 14:40:24.0187 3156        NwlnkIpx        (8b8b1be2dba4025da6786c645f77f123) C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys
2011/09/16 14:40:24.0671 3156        NwlnkNb        (56d34a67c05e94e16377c60609741ff8) C:\WINDOWS\system32\DRIVERS\nwlnknb.sys
2011/09/16 14:40:25.0125 3156        NwlnkSpx        (c0bb7d1615e1acbdc99757f6ceaf8cf0) C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys
2011/09/16 14:40:25.0593 3156        ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/09/16 14:40:26.0046 3156        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/09/16 14:40:26.0468 3156        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/16 14:40:26.0875 3156        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/09/16 14:40:27.0312 3156        pccsmcfd        (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/09/16 14:40:27.0734 3156        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/16 14:40:28.0562 3156        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/16 14:40:29.0015 3156        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/09/16 14:40:31.0859 3156        pfc            (2c1eb94c24a6a1d3434481b0a5fa9c08) C:\WINDOWS\system32\drivers\pfc.sys
2011/09/16 14:40:32.0281 3156        PhTVTune        (94e7f6107c70251059ae4d01b1d76124) C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
2011/09/16 14:40:32.0718 3156        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/09/16 14:40:33.0250 3156        PRISM_A00      (a5d938ee86b8cd0d4879d95eda1cc430) C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
2011/09/16 14:40:33.0843 3156        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/09/16 14:40:34.0328 3156        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/16 14:40:34.0796 3156        PxHelp20        (db3b30c3a4cdcf07e164c14584d9d0f2) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/09/16 14:40:37.0171 3156        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/09/16 14:40:37.0609 3156        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/09/16 14:40:38.0093 3156        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/09/16 14:40:38.0562 3156        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/09/16 14:40:39.0062 3156        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/09/16 14:40:39.0562 3156        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/16 14:40:40.0015 3156        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/16 14:40:40.0484 3156        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/09/16 14:40:40.0953 3156        SE2Ebus        (97ec6c60112ebd40c07fe295a38ab1ea) C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys
2011/09/16 14:40:41.0390 3156        SE2Emdfl        (abfe402ba200e82568a5606719397afa) C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys
2011/09/16 14:40:41.0828 3156        SE2Emdm        (4acfe8a2a3c1624964429e83bc7148a4) C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys
2011/09/16 14:40:42.0281 3156        SE2Emgmt        (9b7d9390cc663e5352d965683f94a8f2) C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys
2011/09/16 14:40:42.0703 3156        se2End5        (76e23aa90d58fddeeabd32a33f357fa5) C:\WINDOWS\system32\DRIVERS\se2End5.sys
2011/09/16 14:40:43.0140 3156        se2Eunic        (ee8208650571f71d430cf2da15c1f02a) C:\WINDOWS\system32\DRIVERS\se2Eunic.sys
2011/09/16 14:40:43.0562 3156        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/16 14:40:43.0984 3156        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/16 14:40:44.0406 3156        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/09/16 14:40:44.0859 3156        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
2011/09/16 14:40:45.0734 3156        SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/09/16 14:40:46.0531 3156        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/09/16 14:40:47.0000 3156        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/09/16 14:40:47.0562 3156        Srv            (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/16 14:40:48.0125 3156        ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/09/16 14:40:48.0562 3156        streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/09/16 14:40:49.0015 3156        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/16 14:40:49.0468 3156        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/09/16 14:40:51.0578 3156        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/09/16 14:40:52.0109 3156        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/09/16 14:40:52.0656 3156        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/16 14:40:53.0093 3156        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/16 14:40:53.0546 3156        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/09/16 14:40:54.0375 3156        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/16 14:40:54.0828 3156        UKBFLT          (121b9eb8372f9309b12a2c698f655f84) C:\WINDOWS\system32\DRIVERS\UKBFLT.sys
2011/09/16 14:40:55.0796 3156        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/16 14:40:56.0781 3156        usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/09/16 14:40:57.0218 3156        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/16 14:40:57.0656 3156        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/16 14:40:58.0109 3156        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/16 14:40:58.0593 3156        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/09/16 14:40:59.0031 3156        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/09/16 14:40:59.0437 3156        usbstor        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/16 14:40:59.0875 3156        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/09/16 14:41:00.0750 3156        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/09/16 14:41:01.0625 3156        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/09/16 14:41:02.0109 3156        vsdatant        (279761ad6562c0d4309cb1bbb260233f) C:\WINDOWS\system32\vsdatant.sys
2011/09/16 14:41:02.0781 3156        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/16 14:41:03.0203 3156        wanatw          (0a716c08cb13c3a8f4f51e882dbf7416) C:\WINDOWS\system32\DRIVERS\wanatw4.sys
2011/09/16 14:41:03.0671 3156        wbscr          (67014473f902f3023f892c3a0950958a) C:\WINDOWS\system32\drivers\wbscr.sys
2011/09/16 14:41:04.0187 3156        Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/09/16 14:41:05.0140 3156        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/09/16 14:41:05.0234 3156        WINFLASH        (fd5b87cd55134bf3545116dbbd45be88) D:\Tools\WinFlash\WinFlash.sys
2011/09/16 14:41:05.0687 3156        WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/09/16 14:41:06.0156 3156        WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/09/16 14:41:06.0609 3156        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/09/16 14:41:07.0031 3156        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/09/16 14:41:07.0468 3156        X10UIF          (2a35913cfe96e7b19097c9a1c3bc5182) C:\WINDOWS\system32\Drivers\x10uif.sys
2011/09/16 14:41:07.0531 3156        MBR (0x1B8)    (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/09/16 14:41:07.0734 3156        MBR (0x1B8)    (8f558eb6672622401da993e1e865c861) \Device\Harddisk1\DR14
2011/09/16 14:41:07.0765 3156        MBR (0x1B8)    (8f558eb6672622401da993e1e865c861) \Device\Harddisk6\DR16
2011/09/16 14:41:11.0390 3156        Boot (0x1200)  (0382a1210daa425580150ab1df504fe0) \Device\Harddisk0\DR0\Partition0
2011/09/16 14:41:11.0421 3156        Boot (0x1200)  (4ea54b626e36ad5286799a8218fcbf72) \Device\Harddisk0\DR0\Partition1
2011/09/16 14:41:11.0453 3156        Boot (0x1200)  (f8e3cbf96c500ea8448b8ca46029f9e4) \Device\Harddisk0\DR0\Partition2
2011/09/16 14:41:11.0453 3156        Boot (0x1200)  (669b906e10a883f77f2abb4b1c29e730) \Device\Harddisk1\DR14\Partition0
2011/09/16 14:41:11.0484 3156        Boot (0x1200)  (8b3852ad06399495270d7115a6c89532) \Device\Harddisk6\DR16\Partition0
2011/09/16 14:41:11.0484 3156        ================================================================================
2011/09/16 14:41:11.0484 3156        Scan finished
2011/09/16 14:41:11.0484 3156        ================================================================================
2011/09/16 14:41:11.0500 3232        Detected object count: 0
2011/09/16 14:41:11.0500 3232        Actual detected object count: 0
unhide hab ich nicht gebraucht, er wirkt alles normal.
Glaubst du das was drauf ist oder gehen wir grade nur auf Nummer sicher das er Vierenfrei ist?

cosinus 16.09.2011 13:55
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

trexer 16.09.2011 14:22
Glaubst du das was drauf ist oder gehen wir grade nur auf Nummer sicher das er Vierenfrei ist?

Combofix Logfile:
Code:
ComboFix 11-09-15.05 - User 16.09.2011  14:53:32.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\User\Anwendungsdaten\1&1
c:\dokumente und einstellungen\User\Anwendungsdaten\1&1\1&1 EasyLogin\customer.xml
c:\dokumente und einstellungen\User\Anwendungsdaten\1&1\1&1 EasyLogin\EasyLogin.log
c:\dokumente und einstellungen\User\Eigene Dateien\11.htm
c:\dokumente und einstellungen\User\Eigene Dateien\12.htm
c:\dokumente und einstellungen\User\WINDOWS
c:\windows\system32\E_FBCBACE.DLL
c:\windows\unin0407.exe
Pass LEGAL for license information. Built Sat Jun 25 23:20 2011c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-08-16 bis 2011-09-16  ))))))))))))))))))))))))))))))
.
.
2011-09-16 11:57 . 2011-09-16 11:57        --------        d-----w-        C:\_OTL
2011-09-16 11:35 . 2011-09-16 11:35        --------        d-----w-        c:\programme\Ask.com
2011-09-15 20:10 . 2004-08-04 12:00        257568        ----a-w-        c:\windows\winhelp.exe
2011-09-15 16:03 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2011-09-15 14:53 . 2011-09-15 14:53        --------        d-----w-        c:\programme\ESET
2011-09-15 14:48 . 2011-09-15 14:48        --------        d-sh--w-        c:\dokumente und einstellungen\User\PrivacIE
2011-09-15 14:45 . 2011-09-15 14:45        --------        d-----w-        c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\ATI
2011-09-15 14:45 . 2011-09-15 14:45        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\ATI
2011-09-15 14:27 . 2006-05-03 09:57        520192        ------w-        c:\windows\system32\ati2sgag.exe
2011-09-15 13:58 . 2011-09-15 13:58        388096        ----a-r-        c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-09-15 13:58 . 2011-09-15 13:58        --------        d-----w-        c:\programme\Trend Micro
2011-09-13 19:58 . 2008-05-01 14:34        331776        -c----w-        c:\windows\system32\dllcache\msadce.dll
2011-09-13 19:58 . 2009-06-25 08:25        54272        -c----w-        c:\windows\system32\dllcache\wdigest.dll
2011-09-13 19:58 . 2009-06-24 11:18        92928        -c----w-        c:\windows\system32\dllcache\ksecdd.sys
2011-09-13 19:35 . 2011-09-03 06:18        134104        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-09-13 19:34 . 2011-09-03 06:18        89048        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-09-13 19:34 . 2011-09-03 06:18        785368        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-09-13 19:34 . 2011-09-03 06:18        478168        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-09-13 19:34 . 2011-09-03 06:18        1846232        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-09-13 19:34 . 2011-09-03 06:18        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-09-13 19:34 . 2011-09-02 23:25        2106216        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-09-13 19:34 . 2011-09-02 23:25        1998168        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-09-13 19:33 . 2011-09-13 19:33        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2011-09-13 19:29 . 2011-09-13 19:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-09-13 19:28 . 2011-09-13 19:28        --------        d-----w-        c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-09-13 19:14 . 2011-04-25 16:05        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll
2011-09-13 19:14 . 2011-04-25 16:05        247808        -c----w-        c:\windows\system32\dllcache\ieproxy.dll
2011-09-13 19:14 . 2011-04-25 16:05        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2011-09-13 19:05 . 2011-04-21 13:37        105472        -c----w-        c:\windows\system32\dllcache\mup.sys
2011-09-13 19:02 . 2010-12-20 17:32        551936        -c----w-        c:\windows\system32\dllcache\oleaut32.dll
2011-09-13 19:00 . 2011-03-03 13:53        1858048        -c----w-        c:\windows\system32\dllcache\win32k.sys
2011-09-13 18:59 . 2011-02-15 12:56        290432        -c----w-        c:\windows\system32\dllcache\atmfd.dll
2011-09-13 18:57 . 2009-04-20 17:17        45568        -c----w-        c:\windows\system32\dllcache\dnsrslvr.dll
2011-09-13 18:52 . 2011-02-11 14:44        236032        -c----w-        c:\windows\system32\dllcache\fxscover.exe
2011-09-13 18:50 . 2011-04-29 16:19        456320        -c----w-        c:\windows\system32\dllcache\mrxsmb.sys
2011-09-13 18:50 . 2011-02-02 07:58        2067456        -c----w-        c:\windows\system32\dllcache\lhmstscx.dll
2011-09-13 18:50 . 2011-01-27 11:57        677888        -c----w-        c:\windows\system32\dllcache\lhmstsc.exe
2011-09-13 18:49 . 2011-02-09 13:53        270848        -c----w-        c:\windows\system32\dllcache\sbe.dll
2011-09-13 18:49 . 2011-02-09 13:53        186880        -c----w-        c:\windows\system32\dllcache\encdec.dll
2011-09-13 18:48 . 2010-12-22 12:34        301568        -c----w-        c:\windows\system32\dllcache\kerberos.dll
2011-09-13 18:46 . 2010-12-09 14:29        33280        -c----w-        c:\windows\system32\dllcache\csrsrv.dll
2011-09-13 18:45 . 2011-01-21 14:44        8503296        -c----w-        c:\windows\system32\dllcache\shell32.dll
2011-09-13 18:45 . 2011-01-21 14:44        440832        -c----w-        c:\windows\system32\dllcache\shimgvw.dll
2011-09-13 18:44 . 2010-11-09 14:51        249856        -c----w-        c:\windows\system32\dllcache\odbc32.dll
2011-09-13 18:44 . 2010-11-09 14:51        200704        -c----w-        c:\windows\system32\dllcache\msadox.dll
2011-09-13 18:44 . 2010-11-09 14:51        180224        -c----w-        c:\windows\system32\dllcache\msadomd.dll
2011-09-13 18:44 . 2010-11-09 14:51        102400        -c----w-        c:\windows\system32\dllcache\msjro.dll
2011-09-13 18:44 . 2010-11-09 14:51        536576        -c----w-        c:\windows\system32\dllcache\msado15.dll
2011-09-13 18:44 . 2010-11-09 14:51        143360        -c----w-        c:\windows\system32\dllcache\msadco.dll
2011-09-13 18:43 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2011-09-13 18:43 . 2010-11-18 18:12        86016        -c----w-        c:\windows\system32\dllcache\isign32.dll
2011-09-13 18:42 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2011-09-13 18:42 . 2010-08-16 08:44        590848        -c----w-        c:\windows\system32\dllcache\rpcrt4.dll
2011-09-13 18:41 . 2010-07-16 12:05        1288192        -c----w-        c:\windows\system32\dllcache\ole32.dll
2011-09-13 18:40 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll
2011-09-13 18:38 . 2011-02-08 13:33        978944        -c----w-        c:\windows\system32\dllcache\mfc42.dll
2011-09-13 18:38 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll
2011-09-13 18:34 . 2010-06-18 17:44        293888        -c----w-        c:\windows\system32\dllcache\winsrv.dll
2011-09-13 18:32 . 2010-04-16 15:36        406016        -c----w-        c:\windows\system32\dllcache\usp10.dll
2011-09-13 18:32 . 2010-03-30 10:24        317440        -c----w-        c:\windows\system32\dllcache\mp4sdecd.dll
2011-09-13 18:31 . 2010-08-17 13:17        58880        -c----w-        c:\windows\system32\dllcache\spoolsv.exe
2011-09-13 18:26 . 2010-06-14 07:41        1172480        -c----w-        c:\windows\system32\dllcache\msxml3.dll
2011-09-13 18:26 . 2010-06-18 13:36        3558912        -c----w-        c:\windows\system32\dllcache\moviemk.exe
2011-09-13 18:24 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2011-09-13 18:21 . 2010-03-05 14:37        65536        -c----w-        c:\windows\system32\dllcache\asycfilt.dll
2011-09-13 18:19 . 2010-02-12 04:33        100864        -c----w-        c:\windows\system32\dllcache\6to4svc.dll
2011-09-13 18:18 . 2010-03-05 18:45        465920        -c----w-        c:\windows\system32\dllcache\smtpsvc.dll
2011-09-13 18:17 . 2010-01-13 14:00        86528        -c----w-        c:\windows\system32\dllcache\cabview.dll
2011-09-13 18:17 . 2009-12-24 06:59        177664        -c----w-        c:\windows\system32\dllcache\wintrust.dll
2011-09-13 18:16 . 2010-02-05 18:25        1297408        -c----w-        c:\windows\system32\dllcache\quartz.dll
2011-09-13 18:16 . 2009-11-27 17:11        17920        -c----w-        c:\windows\system32\dllcache\msyuv.dll
2011-09-13 18:15 . 2009-11-27 16:08        85504        -c----w-        c:\windows\system32\dllcache\avifil32.dll
2011-09-13 18:15 . 2009-11-27 16:08        48128        -c----w-        c:\windows\system32\dllcache\iyuv_32.dll
2011-09-13 18:15 . 2009-11-27 16:08        11264        -c----w-        c:\windows\system32\dllcache\msrle32.dll
2011-09-13 18:15 . 2011-02-17 13:18        357888        -c----w-        c:\windows\system32\dllcache\srv.sys
2011-09-13 18:14 . 2009-12-17 07:40        346624        -c----w-        c:\windows\system32\dllcache\mspaint.exe
2011-09-13 18:13 . 2010-08-27 08:01        119808        -c----w-        c:\windows\system32\dllcache\t2embed.dll
2011-09-13 18:13 . 2009-10-15 16:28        81920        -c----w-        c:\windows\system32\dllcache\fontsub.dll
2011-09-13 18:06 . 2011-09-13 18:08        --------        dc-h--w-        c:\windows\ie8
2011-09-12 17:14 . 2009-10-12 13:38        79872        -c----w-        c:\windows\system32\dllcache\raschap.dll
2011-09-12 17:14 . 2009-10-12 13:38        150528        -c----w-        c:\windows\system32\dllcache\rastls.dll
2011-09-12 17:14 . 2009-10-13 10:32        271360        -c----w-        c:\windows\system32\dllcache\oakley.dll
2011-09-12 17:13 . 2009-09-11 14:17        136192        -c----w-        c:\windows\system32\dllcache\msv1_0.dll
2011-09-12 17:13 . 2009-07-17 16:15        1441792        -c----w-        c:\windows\system32\dllcache\query.dll
2011-09-12 17:12 . 2009-09-04 21:03        58880        -c----w-        c:\windows\system32\dllcache\msasn1.dll
2011-09-12 17:10 . 2009-06-21 21:45        153088        -c----w-        c:\windows\system32\dllcache\triedit.dll
2011-09-12 17:08 . 2009-06-15 10:43        78848        -c----w-        c:\windows\system32\dllcache\telnet.exe
2011-09-12 17:08 . 2009-06-10 06:14        132096        -c----w-        c:\windows\system32\dllcache\wkssvc.dll
2011-09-12 17:07 . 2009-08-05 08:59        206336        -c----w-        c:\windows\system32\dllcache\mswebdvd.dll
2011-09-12 17:06 . 2009-07-17 19:01        58880        -c----w-        c:\windows\system32\dllcache\atl.dll
2011-09-12 17:06 . 2009-05-07 15:32        348160        -c----w-        c:\windows\system32\dllcache\localspl.dll
2011-09-12 17:04 . 2009-06-25 08:25        56832        -c----w-        c:\windows\system32\dllcache\secur32.dll
2011-09-12 17:04 . 2009-03-21 14:06        1063424        -c----w-        c:\windows\system32\dllcache\kernel32.dll
2011-09-12 17:04 . 2008-12-16 12:30        354304        -c----w-        c:\windows\system32\dllcache\winhttp.dll
2011-09-12 17:02 . 2011-02-17 16:24        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2011-09-12 17:02 . 2010-07-16 12:01        220160        -c----w-        c:\windows\system32\dllcache\wordpad.exe
2011-09-12 17:02 . 2010-06-30 12:28        149504        -c----w-        c:\windows\system32\dllcache\schannel.dll
2011-09-12 17:01 . 2008-10-23 12:36        286720        -c----w-        c:\windows\system32\dllcache\gdi32.dll
2011-09-12 17:00 . 2011-09-12 17:00        --------        d-----w-        c:\programme\MSXML 4.0
2011-09-12 17:00 . 2008-10-15 16:35        337408        -c----w-        c:\windows\system32\dllcache\netapi32.dll
2011-09-12 16:59 . 2008-06-14 17:32        273024        -c----w-        c:\windows\system32\dllcache\bthport.sys
2011-09-12 16:58 . 2008-08-28 07:46        74752        -c----w-        c:\windows\system32\dllcache\msw3prt.dll
2011-09-12 16:58 . 2008-08-28 07:46        104960        -c----w-        c:\windows\system32\dllcache\win32spl.dll
2011-09-12 16:57 . 2008-07-07 20:26        253952        -c----w-        c:\windows\system32\dllcache\es.dll
2011-09-12 16:57 . 2011-05-02 15:31        692736        -c----w-        c:\windows\system32\dllcache\inetcomm.dll
2011-09-12 16:56 . 2008-06-24 16:42        74240        -c----w-        c:\windows\system32\dllcache\mscms.dll
2011-09-12 16:56 . 2011-03-03 06:54        149504        -c----w-        c:\windows\system32\dllcache\dnsapi.dll
2011-09-12 16:56 . 2011-02-16 13:22        138496        -c----w-        c:\windows\system32\dllcache\afd.sys
2011-09-12 16:56 . 2010-02-11 12:02        226880        -c----w-        c:\windows\system32\dllcache\tcpip6.sys
2011-09-12 16:56 . 2008-06-20 16:02        247296        -c----w-        c:\windows\system32\dllcache\mswsock.dll
2011-09-12 16:56 . 2008-06-20 11:51        361600        -c----w-        c:\windows\system32\dllcache\tcpip.sys
2011-09-12 16:55 . 2008-05-08 14:02        203136        -c----w-        c:\windows\system32\dllcache\rmcast.sys
2011-09-12 16:54 . 2011-09-12 16:54        --------        d-sh--w-        c:\dokumente und einstellungen\User\IETldCache
2011-09-12 16:22 . 2008-04-14 05:52        4255        ------w-        c:\windows\system32\drivers\adv01nt5.dll
2011-09-12 16:16 . 2011-09-12 16:16        --------        d-----w-        c:\windows\EHome
2011-09-12 14:03 . 2011-09-12 14:03        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Avira
2011-09-12 14:02 . 2011-07-21 10:11        138192        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-09-12 14:02 . 2011-07-21 10:11        66616        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-09-12 14:02 . 2009-09-29 16:12        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2011-09-12 14:02 . 2009-09-29 16:12        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2011-09-12 13:59 . 2011-09-12 13:59        --------        d-----w-        C:\ATI
2011-09-07 12:47 . 2011-09-07 12:49        --------        d-----w-        C:\NVIDIA
2011-09-06 07:01 . 2011-09-06 07:01        --------        d-----w-        c:\windows\system32\wbem\Repository
2011-08-20 06:24 . 2011-08-20 06:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2011-08-19 20:18 . 2011-08-19 20:18        --------        d-----w-        c:\windows\Logs
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-06 07:31 . 2006-10-17 19:45        107888        ----a-w-        c:\windows\system32\CmdLineExt.dll
2011-08-05 18:23 . 2011-08-05 18:23        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2007-03-05 15:45 . 2007-03-05 15:45        5127183        -c--a-w-        c:\programme\Sweepi5.3.01_full_Setup_DE.exe
2007-01-15 17:23 . 2007-01-15 17:23        20155344        -c--a-w-        c:\programme\SkypeSetup.exe
2011-09-03 06:18 . 2011-09-13 19:35        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2011-04-15 16:30        1487240        ----a-w-        c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-04-15 1487240]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-11-22 39408]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"SoundMan"="SOUNDMAN.EXE" [2003-01-07 46592]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\
FIFA 09-Registrierung.lnk - c:\programme\EA Sports\FIFA 09\Support\EAregister.exe [N/A]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
2004-02-05 11:45        510464        ----a-w-        c:\windows\mHotkey.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2003-12-29 21:33        94208        ----a-w-        c:\windows\Dit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ledpointer]
2004-02-03 15:15        5794816        ----a-w-        c:\windows\CNYHKey.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
2006-01-17 12:26        53248        ----a-w-        c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2008-01-31 07:17        134144        -c--a-w-        c:\programme\pdf24\PDFBackend.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TapiSrv"=2 (0x2)
"SharedAccess"=2 (0x2)
"helpsvc"=2 (0x2)
"Eventlog"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
.
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [16.06.2005 18:50 10995]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.09.2011 16:02 136360]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [06.05.2005 20:10 37568]
R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [07.05.2005 18:54 13440]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [06.05.2005 20:10 444416]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12.11.2004 14:31 24704]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [12.11.2004 06:19 380736]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [07.05.2005 19:01 19928]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [22.11.2010 14:17 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [22.11.2010 14:17 136176]
S3 ids00026;ids00026;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys [?]
S3 ids0015d;ids0015d;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys [?]
S3 ids00180;ids00180;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys [?]
S3 ids0018a;ids0018a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys [?]
S3 ids00196;ids00196;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00196.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00196.sys [?]
S3 UKBFLT;UKBFLT;c:\windows\system32\drivers\UKBFLT.sys [07.05.2005 18:56 11672]
S3 V0420VID;Live! Cam Vista IM (VF0420);c:\windows\system32\DRIVERS\V0420Vid.sys --> c:\windows\system32\DRIVERS\V0420Vid.sys [?]
S4 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [12.09.2011 16:02 428200]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 72275579
*Deregistered* - 72275579
.
Inhalt des "geplante Tasks" Ordners
.
2011-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cc49cd3b242690.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-22 12:17]
.
2011-09-16 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2011-04-15 16:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.1und1.de/?ref=EasyLogin
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = login.1und1.de:80
IE: Add to Windows &Live Favorites - hxxp://favorites.live.com/quickadd.aspx
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} - hxxp://www.pixaco.de/static/download/iedropupload.cab
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1206287778
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\wvhjgfv7.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-V0420Mon.exe - c:\windows\V0420Mon.exe
MSConfigStartUp-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
MSConfigStartUp-AOLDialer - c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
MSConfigStartUp-HostManager - c:\programme\Gemeinsame Dateien\AOL\1165687441\ee\AOLSoftware.exe
MSConfigStartUp-PCMService - c:\programme\Home Cinema\PowerCinema\PCMService.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
MSConfigStartUp-Sony Ericsson PC Suite - c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
AddRemove-VLC media player - c:\programme\VideoLAN\VLC\uninstall.exe
AddRemove-CCTVPlayer - c:\dokumente und einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\13Z480BV\CNTVPlayer101209a[1].exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-09-16 15:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1644491937-1425521274-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:b8,95,1a,1a,ec,27,84,f5,ab,70,8e,96,23,0b,9e,b3,94,e3,d5,a5,54,
  10,a6,bd,48,20,cb,95,19,90,72,24,9f,67,63,6b,c4,e8,52,b9,ca,b7,4f,a8,35,e0,\
"rkeysecu"=hex:c6,9f,b6,3e,2c,07,f7,4f,ba,50,7f,d1,2a,61,66,0a
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-09-16  15:08:39
ComboFix-quarantined-files.txt  2011-09-16 13:08
.
Vor Suchlauf: 19 Verzeichnis(se), 78.642.139.136 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 78.588.514.304 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 8E5A1DD05EAF346C15637A17AE78E936
--- --- ---

cosinus 16.09.2011 14:31
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

trexer 16.09.2011 15:02
GMER ist schonmal abgestürzt 2. mal... Hoffe ich krieg den rest noch durch -> Bekannte ist da und will den PC wieder mitnehmen... Sollte ich besser nicht rausgeben oder?

trexer 16.09.2011 15:43
Ok also GMER geht nicht. Hier OSAM:
Code:
OSAM Logfile:

       
Code:

       
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:29:57 on 16.09.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore1cc49cd3b242690.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Scheduled Update for Ask Toolbar.job" - ? - C:\Programme\Ask.com\UpdateTask.exe  (File found, but it contains no detailed information)

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ALSNDMGR.CPL" - "Realtek Semiconductor Corp." - C:\WINDOWS\system32\ALSNDMGR.CPL
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"prefscpl.cpl" - "RealNetworks, Inc." - C:\WINDOWS\system32\prefscpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASCTRM" (ASCTRM) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\ASCTRM.sys
"aswMBR" (aswMBR) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\aswMBR.sys  (Hidden registry entry, rootkit activity | File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Card Reader Filter" (CardReaderFilter) - "ICSI Technology Ltd." - C:\WINDOWS\system32\Drivers\USBCRFT.SYS
"catchme" (catchme) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Creatix V.9X DSP Data Fax Modem" (Intels51) - ? - C:\WINDOWS\System32\DRIVERS\ctxs51.sys
"GMSIPCI" (GMSIPCI) - ? - J:\INSTALL\GMSIPCI.SYS  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"ids00026" (ids00026) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys  (File not found)
"ids0015d" (ids0015d) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys  (File not found)
"ids00180" (ids00180) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys  (File not found)
"ids0018a" (ids0018a) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys  (File not found)
"ids00196" (ids00196) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00196.sys  (File not found)
"InCD EasyWrite Reader" (incdrm) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"Klmc" (Klmc) - "Kaspersky Lab" - C:\WINDOWS\System32\drivers\klmc.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Live! Cam Vista IM (VF0420)" (V0420VID) - ? - C:\WINDOWS\System32\DRIVERS\V0420Vid.sys  (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pgxdraoc" (pgxdraoc) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\pgxdraoc.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - "Realtek Semiconductor Corp." - C:\WINDOWS\System32\drivers\ALCXWDM.SYS
"Sony Ericsson Device 046 Driver driver (WDM)" (SE2Ebus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE2Ebus.sys
"Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS)" (se2End5) - "MCCI" - C:\WINDOWS\System32\DRIVERS\se2End5.sys
"Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM)" (se2Eunic) - "MCCI" - C:\WINDOWS\System32\DRIVERS\se2Eunic.sys
"Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM)" (SE2Emgmt) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE2Emgmt.sys
"Sony Ericsson Device 046 USB WMC Modem Driver" (SE2Emdm) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE2Emdm.sys
"Sony Ericsson Device 046 USB WMC Modem Filter" (SE2Emdfl) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE2Emdfl.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"upperdev" (upperdev) - ? - C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys  (File not found)
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\System32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WINFLASH" (WINFLASH) - ? - D:\Tools\WinFlash\WinFlash.sys  (File found, but it contains no detailed information)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} "BitDefender Antivirus v8" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B28C18DB-6816-4F31-9630-397683E3C2C3} "Filzip Shell Extension" - ? -   (File not found | COM-object registry key not found)
{88895560-9AA2-1069-930E-00AA0030EBC8} "HyperTerminal Icon Ext" - ? - C:\WINDOWS\system32\hticons.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "MCLiteShellExt Class" - ? - C:\Programme\ICQLite\ICQLiteShell.dll  (File not found)
{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} "Microsoft Browser Architecture" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -   (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - ? - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx  (File not found) / hxxp://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1
{BA162249-F2C5-4851-8ADC-FC58CB424243} "Image Uploader Control" - ? - C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx  (File not found) / hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1206287778
{1754A1BA-A1DF-4F10-B199-AA55AA1A120F} "InstallerBehaviorFactory Class" - ? - C:\WINDOWS\Downloaded Program Files\MsnInstC.dll  (File not found) / https://signup.msn.com/pages/MsnInstC.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
{27FA5271-12D2-43E3-9424-365A43236EE7} "PIXACO upload plugin" - ? - C:\WINDOWS\DOWNLO~1\IEDROP~1.OCX  (File not found) / hxxp://www.pixaco.de/static/download/iedropupload.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} "{30528230-99f7-4bb4-88d8-fa1d4f56a2ab}" - ? -   (File not found | COM-object registry key not found) / C:\Programme\Yahoo!\Common\yinsthelper.dll
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@C:\Programme\Messenger\Msgslang.dll,-61144" - "Microsoft Corporation" - C:\Programme\Messenger\msmsgs.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Ask Toolbar" - "Ask" - C:\Programme\Ask.com\GenericAskToolbar.dll
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{D4027C7F-154A-4066-A1AD-4243D8127440} "Ask Toolbar" - "Ask" - C:\Programme\Ask.com\GenericAskToolbar.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ATICCC" - "ATI Technologies Inc." - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"SoundMan" - "Realtek Semiconductor Corp." - SOUNDMAN.EXE

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDF reDirect Monitor" - ? - C:\WINDOWS\system32\PDFreDirectMonNT.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"X10 Device Network Service" (x10nets) - "X10" - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Und hier aswMBR:
Code:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-16 16:10:52
-----------------------------
16:10:52.421    OS Version: Windows 5.1.2600 Service Pack 3
16:10:52.421    Number of processors: 2 586 0x209
16:10:52.421    ComputerName: USER-87A2E8B98C  UserName: User
16:10:53.765    Initialize success
16:14:45.828    AVAST engine defs: 11091600
16:16:38.671    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
16:16:38.671    Disk 0 Vendor: ST3200021A 3.01 Size: 190782MB BusType: 3
16:16:38.687    Disk 0 MBR read successfully
16:16:38.687    Disk 0 MBR scan
16:16:38.750    Disk 0 Windows XP default MBR code
16:16:38.765    Disk 0 scanning sectors +390716865
16:16:38.859    Disk 0 scanning C:\WINDOWS\system32\drivers
16:17:02.937    Service scanning
16:17:06.281    Service GMSIPCI J:\INSTALL\GMSIPCI.SYS **LOCKED** 21
16:17:06.906    Modules scanning
16:17:26.890    Disk 0 trace - called modules:
16:17:26.921    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys
16:17:26.921    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83f89ab8]
16:17:26.921    3 CLASSPNP.SYS[f76cefd7] -> nt!IofCallDriver -> \Device\0000006e[0x83fc7b10]
16:17:26.921    5 ACPI.sys[f7624620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x83f8b940]
16:17:28.109    AVAST engine scan C:\WINDOWS
16:17:44.109    AVAST engine scan C:\WINDOWS\system32
16:23:11.187    AVAST engine scan C:\WINDOWS\system32\drivers
16:23:38.437    AVAST engine scan C:\Dokumente und Einstellungen\User
16:25:58.468    AVAST engine scan C:\Dokumente und Einstellungen\All Users
16:26:14.437    Scan finished successfully
16:27:01.937    Disk 0 MBR has been saved successfully to "M:\trojanerboard\MBR.dat"
16:27:02.656    The log file has been saved successfully to "M:\trojanerboard\aswMBR.txt"
Wie gesagt sie will den Rechner heute noch wieder mitnehmen... Wenn nix mehr schlimmes dabei ist würde ich ihr den gerne geben.

cosinus 17.09.2011 12:20
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


trexer 17.09.2011 12:43
Sorry zu spät der Rechner ist weg, naja solang sie keine Probleme mehr hat wirds sicher ok sein.

Magst du mir noch erklären was genau der OTL-Fix oben bewirkt hat? Würde mich interssieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:52 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129