Trojaner-Board - AV Security nachhaltig entfernen?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AV Security nachhaltig entfernen? (https://www.trojaner-board.de/88119-av-security-nachhaltig-entfernen.html)

AV Security nachhaltig entfernen?

Hallo Fachleute,

habe mir gestern AV-Security eingefangen.
Die Schadsoftware wurde leider von meiner aktuellen McAffee Firewall und -Virenscanner nicht entdeckt.
Danach habe ich die aus diesem Forum empfohlene Reinigung mit Hilfe von Malwarebytes (vorher aktualisiert) und CCleaner durchgeführt.
Es wurde einiges in zwei Durchläufen gefunden und auch bereinigt.
Beim dritten Durchlauf wurde nichts mehr gefunden.
Wie kann ich nun annähernd sicher gehen, ob mein System jetzt clean ist?
Ist dieser Virus dafür bekannt, das er Systemdatein nachhaltig infiziert (Rootkit) und somit schwer zu entfernen ist?
Das Betriebssystem möchte ich möglichst nicht neu aufspielen.
Macht es Sinn HijackThis zu installieren, so das sich ein Fachmann die Sache nochmal anschaut?
Für Tips und Erfahrungsberichte wäre ich sehr Dankbar.

Zitat:

Es wurde einiges in zwei Durchläufen gefunden und auch bereinigt.

Log bitte posten

Hallo Arne,

hier der 1. Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4305

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.07.2010 20:03:18
mbam-log-2010-07-12 (20-03-18).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Objects scanned: 213957
Time elapsed: 54 minute(s), 51 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 9

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033384.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033385.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033386.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033387.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033388.exe (Hacktool.Gen) -> Quarantined and deleted successfully.
J:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033389.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
J:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033390.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
J:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033391.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
J:\System Volume Information\_restore{1283CDD3-1C07-4BDB-BB17-005DF5E1C43E}\RP209\A0033392.exe (Hacktool.Gen) -> Quarantined and deleted successfully.

Hallo Arne,

und hier ist der 2. Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4309

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.07.2010 17:46:25
mbam-log-2010-07-13 (17-46-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 213074
Laufzeit: 35 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne,
erstmal Danke, das Du Dich um mein Problem kümmerst. Hier ist das 1. Log von OTL:

OTL Logfile:

Code:

OTL logfile created on: 15.07.2010 19:04:49 - Run 1

OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\hotta\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.022,00 Mb Total Physical Memory | 645,00 Mb Available Physical Memory | 63,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 78,13 Gb Total Space | 60,88 Gb Free Space | 77,93% Space Free | Partition Type: NTFS

Drive D: | 154,69 Gb Total Space | 106,96 Gb Free Space | 69,14% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

Drive J: | 232,88 Gb Total Space | 185,63 Gb Free Space | 79,71% Space Free | Partition Type: NTFS

 

Computer Name: Kalle

Current User Name: Schorsch

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\hotta\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe (McAfee, Inc.)

PRC - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe (McAfee, Inc.)

PRC - C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)

PRC - c:\Programme\McAfee.com\Agent\mcupdate.exe (McAfee, Inc.)

PRC - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe (McAfee, Inc.)

PRC - C:\Programme\McAfee\MSM\McSmtFwk.exe (McAfee, Inc.)

PRC - C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)

PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)

PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\WINDOWS\stsystra.exe (SigmaTel, Inc.)

PRC - C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe ()

PRC - C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe (Hewlett-Packard)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\hotta\Desktop\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found

SRV - (mfefire) -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe (McAfee, Inc.)

SRV - (mfevtp) -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe (McAfee, Inc.)

SRV - (McODS) -- C:\Programme\McAfee\VirusScan\mcods.exe (McAfee, Inc.)

SRV - (McShield) -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mcshield.exe ()

SRV - (McProxy) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)

SRV - (McNASvc) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)

SRV - (McNaiAnn) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)

SRV - (mcmscsvc) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)

SRV - (McMPFSvc) -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)

SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)

SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)

SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia.)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (yeddef) -- C:\WINDOWS\System32\Drivers\yeddef.sys File not found

DRV - (mfehidk) -- C:\WINDOWS\system32\drivers\mfehidk.sys (McAfee, Inc.)

DRV - (mfefirek) -- C:\WINDOWS\system32\drivers\mfefirek.sys (McAfee, Inc.)

DRV - (mfeavfk) -- C:\WINDOWS\system32\drivers\mfeavfk.sys (McAfee, Inc.)

DRV - (mfeapfk) -- C:\WINDOWS\system32\drivers\mfeapfk.sys (McAfee, Inc.)

DRV - (mfendiskmp) -- C:\WINDOWS\system32\drivers\mfendisk.sys (McAfee, Inc.)

DRV - (mfendisk) -- C:\WINDOWS\system32\drivers\mfendisk.sys (McAfee, Inc.)

DRV - (mferkdet) -- C:\WINDOWS\system32\drivers\mferkdet.sys (McAfee, Inc.)

DRV - (mfetdi2k) -- C:\WINDOWS\system32\drivers\mfetdi2k.sys (McAfee, Inc.)

DRV - (cfwids) -- C:\WINDOWS\system32\drivers\cfwids.sys (McAfee, Inc.)

DRV - (mfebopk) -- C:\WINDOWS\system32\drivers\mfebopk.sys (McAfee, Inc.)

DRV - (AFS2K) -- C:\WINDOWS\System32\drivers\AFS2K.SYS (Oak Technology Inc.)

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Windows (R) Codename Longhorn DDK provider)

DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)

DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)

DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Windows (R) Codename Longhorn DDK provider)

DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)

DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation)

DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)

DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)

DRV - (BENDER) -- C:\WINDOWS\system32\drivers\bender.sys (Pinnacle Systems)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

FF - HKLM\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2009.02.14 19:50:48 | 000,000,000 | ---D | M]

 

 

O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\ScriptSn.20100519170019.dll (McAfee, Inc.)

O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)

O4 - HKLM..\Run: [mcui_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)

O4 - HKLM..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe (Hewlett-Packard)

O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\WINDOWS\stsystra.exe (SigmaTel, Inc.)

O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)

O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} https://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab (JordanUploader Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?e=1237488310456&h=fa250a0bd7a7dd4531f8d53fa94ddb32/&filename=jinstall-6u12-windows-i586-jc.cab (Java Plug-in 1.6.0_12)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)

O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\hotta\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\hotta\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.01.19 19:38:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.07.15 19:02:51 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\hotta\Desktop\OTL.exe

[2010.07.14 19:28:07 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\hotta\Recent

[2010.07.14 18:04:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\AdobeUM

[2010.07.14 18:03:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

[2010.07.12 20:20:55 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

[2010.07.12 19:15:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia

[2010.07.12 19:15:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe

[2010.07.12 18:29:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\hotta\Anwendungsdaten\Malwarebytes

[2010.07.12 18:04:36 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.07.12 18:04:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.07.12 18:04:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.07.12 18:04:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.07.12 15:53:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\hotta\Lokale Einstellungen\Anwendungsdaten\wkiewxtss

[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.07.15 19:02:56 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\hotta\Desktop\OTL.exe

[2010.07.15 18:49:22 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk

[2010.07.15 18:48:57 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.07.15 18:48:55 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.07.15 07:10:35 | 004,194,304 | ---- | M] () -- C:\Dokumente und Einstellungen\hotta\ntuser.dat

[2010.07.15 07:10:35 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\hotta\ntuser.ini

[2010.07.14 17:49:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.07.12 20:20:57 | 000,000,663 | ---- | M] () -- C:\Dokumente und Einstellungen\hotta\Desktop\CCleaner.lnk

[2010.07.12 18:30:41 | 001,042,162 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.07.12 18:30:41 | 000,448,726 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.07.12 18:30:41 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.07.12 18:30:41 | 000,080,290 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.07.12 18:30:41 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.07.12 18:04:38 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.06.16 06:26:08 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk

[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.07.12 20:20:57 | 000,000,663 | ---- | C] () -- C:\Dokumente und Einstellungen\hotta\Desktop\CCleaner.lnk

[2010.07.12 18:04:38 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2009.11.29 14:52:44 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2009.03.08 17:38:52 | 000,000,278 | ---- | C] () -- C:\WINDOWS\hpqcopy.INI

[2009.01.24 16:38:07 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_48BitScanUpdatePatch.ini

[2009.01.23 22:28:26 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2009.01.20 22:01:16 | 000,876,544 | ---- | C] () -- C:\WINDOWS\System32\TEACico2.dll

[2007.03.29 23:00:40 | 000,203,264 | ---- | C] () -- C:\WINDOWS\System32\CddbCdda.dll

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DD4DD9B9

< End of report >

--- --- ---

Pack alle Logs in eine zip und hänge diese hier im nächsten Posting an.

Nochmals sorry für das ganze durcheinander.
Im Anhang befinden sich beide OTL-Logs, zusammen in einer zip.
Gute Nacht

Da ist aber kein Anhang :)

Hallo Arne,
ich hatte die Zip hochgeladen und versendet. Wenn ich heute Abend, zu Hause an meinem Rechner bin, werde ich alles nochmal komplett neu machen und verschicken.
Danke für Deine Hilfe.

Wohin gesendet? Du solltest sie diesem Beitrag anhängen. Da gibt es ein Büroklammersymbol hier in der Textverarbeitung (wenn Du auf Antworten klickst)

Hallo Arne, hier der zweite Anlauf. Beide OTL Scanberichte in der Zip, im Anhang. Danke für die Bearbeitung.

Hallo Arne, ist Dir bei der Begutachtung der Logs etwas aufgefallen?
Danke für Deine Antwort

Sry, Dein Beitrag ist untergegangen.
Das OTL-Log ist unauffällig, Rechner bei Dir sonst soweit wieder ok?

Denke der Rechner ist ok. Habe täglich MalwareBytes laufen lassen und vorher aktualisiert. Es wurde nichts mehr gefunden.
Nun habe ich mir Norton Internet Security 2010 bestellt.
Die installierte Internet Security Suite McAfee 2010 hatte die Bedrohung weder erkannt noch verhindern können. Es war alles anständig konfiguriert und die Firewall stramm eingestellt. Hat alles nichts genutzt. Trotz vollständigem Systemscan (nach Aktualisierung) wurde absolut nichts entdeckt. Nur MalwareBytes hat die Infizierungen entdeckt. Warscheinlich schließt McAfee nicht umsonst so schlecht in den Tests ab.
Nochmals vielen vielen Dank für Deine Hilfe und Euer hilfreiches Forum. Ich hoffe das ich hier nicht allzubald wieder auftauchen muss...

Zitat:

Nun habe ich mir Norton Internet Security 2010 bestellt.

Och nö bitte nicht, das Teil taugt nichts. Von allem was Internet Security im Namen trägt sollte man besser die Finger lassen.

Zitat:

Die installierte Internet Security Suite McAfee 2010 hatte die Bedrohung weder erkannt noch verhindern können.

Deswegen muss McAfee nicht unbedingt schlechtere Erkennungsraten haben. Dafür erkennt dann Norton irgendeinen anderen Schädling nicht, den McAfee wiederum erkennt.

Zitat:

Es war alles anständig konfiguriert und die Firewall stramm eingestellt. Hat alles nichts genutzt.

Es hat nichts genutzt, weil die Dinger weitgehend wirkungslos sind und in erster Linie Du selbst dafür verantwortlich bist was auf Deinen Rechner gelangt!
Es gibt keine Sicherheit aus bunten Pappschachteln!

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Hallo Arne.
Die Malware scheint noch Spuren auf meinem Rechner hinterlassen zu haben. Es kommt immer wieder vor, das wenn ich im Internet bin selbständig folgende Seite geöffnet wird:
Scour - Search Socially
Mir scheint das die Angelegenheit nicht ganz sauber ist.
Vielleicht ist was am Internetexplorer.
Könntest Du nochmal einen Blick auf das Hijackthis-Log werfen?
Schonmal im vorraus Danke für Deine Hilfe.

Hier das LOG:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:44:01, on 25.07.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\stsystra.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE

C:\Programme\Microsoft Office\Office10\WINWORD.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\IPSBHO.DLL

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - https://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF28C0C4-A942-46D5-BDC4-C924E168E0E3}: NameServer = 89.246.64.38 82.145.9.38

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

--

End of file - 7481 bytes

--- --- ---

Zitat:

C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe

Ich hab Dir davon abgeraten. Trotzdem bestellst und installierst Du es einfach? :balla:

Hijackthis-Logs werden mit der Zeit immer wertloser, dass aktuelle Malware dort nicht mehr richtig angezeigt wird. Ich hab auch schon in den OTL-Logs nicht wirklich was Auffälliges gefunden.
Deinstallier am besten wieder das Norton-Geraffel und mach einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ja, hast ja recht. Hatte es aber sowieso schon bestellt. Und besser als McAfee ist es auf jeden Fall. Hatte heute nochmal bevor ich Deine Antwort gelesen habe einen Scan mit Spybot gemacht. Dort wurde auch was gefunden. Hier das Log:

26.07.2010 17:26:45 - ##### check started #####
26.07.2010 17:26:45 - ### Version: 1.6.2
26.07.2010 17:26:45 - ### Date: 26.07.2010 17:26:45
26.07.2010 17:26:46 - ##### checking bots #####
26.07.2010 17:28:53 - found: Fraud.Sysguard Benutzereinstellungen
26.07.2010 17:30:21 - found: Microsoft.WindowsSecurityCenter.AntiVirusOverride Einstellungen
26.07.2010 17:30:21 - found: Microsoft.WindowsSecurityCenter_disabled Einstellungen
26.07.2010 17:44:37 - ##### check finished #####

Außerdem habe ich hier noch das Systemstart Log von Spybot (sehr viel CTFM.EXE):

--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2010-07-26 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2010-06-29 Includes\Adware.sbi
2010-07-20 Includes\AdwareC.sbi
2010-01-25 Includes\Cookies.sbi
2009-11-03 Includes\Dialer.sbi
2010-07-20 Includes\DialerC.sbi
2010-01-25 Includes\HeavyDuty.sbi
2009-05-26 Includes\Hijackers.sbi
2010-07-20 Includes\HijackersC.sbi
2010-06-29 Includes\iPhone.sbi
2010-01-20 Includes\Keyloggers.sbi
2010-07-20 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2010-06-01 Includes\Malware.sbi
2010-07-20 Includes\MalwareC.sbi
2010-05-18 Includes\PUPS.sbi
2010-07-20 Includes\PUPSC.sbi
2010-01-25 Includes\Revision.sbi
2009-01-13 Includes\Security.sbi
2010-07-20 Includes\SecurityC.sbi
2008-06-03 Includes\Spybots.sbi
2008-06-03 Includes\SpybotsC.sbi
2010-06-29 Includes\Spyware.sbi
2010-07-20 Includes\SpywareC.sbi
2010-03-08 Includes\Tracks.uti
2010-07-13 Includes\Trojans.sbi
2010-07-20 Includes\TrojansC-02.sbi
2010-07-20 Includes\TrojansC-03.sbi
2010-07-20 Includes\TrojansC-04.sbi
2010-07-20 Includes\TrojansC-05.sbi
2010-07-20 Includes\TrojansC.sbi
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Located: HK_LM:Run,
command:
file:
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:Run, Acrobat Assistant 7.0
command: "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
file: C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
size: 483328
MD5: B985665B63E92D8DF8859EAE21E7B52F

Located: HK_LM:Run, iTunesHelper
command: "C:\Programme\iTunes\iTunesHelper.exe"
file: C:\Programme\iTunes\iTunesHelper.exe
size: 141608
MD5: E840A9AEA5D59A5E9C1C4F1AB24D197A

Located: HK_LM:Run, QuickTime Task
command: "C:\Programme\QuickTime\qttask.exe" -atboottime
file: C:\Programme\QuickTime\qttask.exe
size: 421888
MD5: CC065D46387E4A7E6FF99D7BB5C1769D

Located: HK_LM:Run, SigmatelSysTrayApp
command: stsystra.exe
file: C:\WINDOWS\stsystra.exe
size: 282624
MD5: 289BDC9E5681BD1BE0FB871C460BD254

Located: HK_LM:Run, StartCCC
command: "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
file: C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
size: 61440
MD5: 2659F9B422673A98D5629FA3294F5DF3

Located: HK_LM:Run, SunJavaUpdateSched
command: "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
file: C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
size: 248552
MD5: 93DB1FF92B03D24738A71E6E4992DFD3

Located: HK_CU:Run, CTFMON.EXE
where: .DEFAULT...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-19...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-20...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-21-1177238915-1592454029-725345543-1003...
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, SpybotSD TeaTimer
where: S-1-5-21-1177238915-1592454029-725345543-1003...
command: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
file: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 2260480
MD5: 390679F7A217A5E73D756276C40AE887

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-21-1177238915-1592454029-725345543-500...
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-18...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: Startup (allgemein), Adobe Acrobat - Schnellstart.lnk
where: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart...
command: C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
file: C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
size: 25214
MD5: D6294D59171AC375CD142003566AA89E

Located: Startup (allgemein), Microsoft Office.lnk
where: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart...
command: C:\Programme\Microsoft Office\Office10\OSA.EXE
file: C:\Programme\Microsoft Office\Office10\OSA.EXE
size: 83360
MD5: 5BC65464354A9FD3BEAA28E18839734A

Located: WinLogon, AtiExtEvent
command: Ati2evxx.dll
file: Ati2evxx.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, dimsntfy
command: %SystemRoot%\System32\dimsntfy.dll
file: %SystemRoot%\System32\dimsntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Hallo Arne, habe jetzt Deine Anweisungen durchgearbeitet. Danke das Du Dir dafür Zeit nimmst. Hier das ComboFix Log:

Combofix Logfile:

Code:

ComboFix 10-07-24.06 - hotta 26.07.2010  21:12:24.1.2 - x86

ausgeführt von:: c:\dokumente und einstellungen\hotta\Desktop\cofi.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-06-26 bis 2010-07-26  ))))))))))))))))))))))))))))))

.
 

2010-07-26 15:23 . 2010-07-26 18:39        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-07-26 15:23 . 2010-07-26 15:25        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-07-25 20:17 . 2010-07-25 20:17        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2010-07-25 19:19 . 2010-07-25 19:19        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2010-07-25 19:18 . 2010-07-25 19:18        --------        d-----w-        c:\programme\Java

2010-07-25 19:15 . 2010-07-25 19:15        79488        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll

2010-07-25 19:15 . 2010-07-25 19:15        152576        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\jre1.6.0_21\lzma.dll

2010-07-25 09:58 . 2010-07-25 09:58        --------        d-----w-        c:\programme\Trend Micro

2010-07-25 08:09 . 2010-07-25 08:09        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

2010-07-24 22:25 . 2010-07-24 22:25        --------        d-----w-        c:\dokumente und einstellungen\hotta\Lokale Einstellungen\Anwendungsdaten\Threat Expert

2010-07-24 18:48 . 2010-07-24 18:48        --------        dc-h--w-        c:\windows\ie8

2010-07-24 13:59 . 2010-07-24 13:59        --------        d-----w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Tific

2010-07-21 17:31 . 2010-05-06 04:01        47408        ----a-r-        c:\windows\system32\drivers\SymIM.sys

2010-07-21 16:59 . 2010-05-06 04:01        361904        ----a-w-        c:\windows\system32\drivers\symtdi.sys

2010-07-21 16:59 . 2010-04-29 05:03        116784        ----a-w-        c:\windows\system32\drivers\ironx86.sys

2010-07-21 16:59 . 2010-04-22 03:02        173104        ----a-w-        c:\windows\system32\drivers\symefa.sys

2010-07-21 16:59 . 2010-04-22 02:29        43696        ----a-w-        c:\windows\system32\drivers\srtspx.sys

2010-07-21 16:59 . 2010-02-26 00:22        501888        ----a-w-        c:\windows\system32\drivers\cchpx86.sys

2010-07-21 16:59 . 2009-08-30 00:17        328752        ----a-r-        c:\windows\system32\drivers\symds.sys

2010-07-21 16:42 . 2010-07-21 17:34        --------        d-----w-        c:\programme\Gemeinsame Dateien\Symantec Shared

2010-07-21 16:42 . 2010-07-21 16:42        60808        ----a-w-        c:\windows\system32\S32EVNT1.DLL

2010-07-21 16:42 . 2010-07-21 16:42        124976        ----a-w-        c:\windows\system32\drivers\SYMEVENT.SYS

2010-07-21 16:42 . 2010-07-21 16:42        --------        d-----w-        c:\programme\Symantec

2010-07-21 16:41 . 2010-07-21 17:01        --------        d-----w-        c:\windows\system32\drivers\NIS

2010-07-21 16:41 . 2010-07-21 16:41        --------        d-----w-        c:\programme\Windows Sidebar

2010-07-21 16:41 . 2010-07-21 16:41        --------        d-----w-        c:\programme\Norton Internet Security

2010-07-21 16:41 . 2010-07-21 16:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton

2010-07-21 16:37 . 2010-07-21 16:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

2010-07-21 16:37 . 2010-07-21 16:37        --------        d-----w-        c:\programme\NortonInstaller

2010-07-20 17:27 . 2008-04-17 10:12        107368        ----a-w-        c:\windows\system32\GEARAspi.dll

2010-07-20 17:26 . 2010-07-20 17:26        --------        d-----w-        c:\programme\iPod

2010-07-20 17:25 . 2010-07-20 17:27        --------        d-----w-        c:\programme\iTunes

2010-07-20 17:25 . 2010-07-20 17:27        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-07-20 17:24 . 2010-07-20 17:25        --------        d-----w-        c:\programme\QuickTime

2010-07-20 17:23 . 2010-07-20 17:23        --------        d-----w-        c:\programme\Apple Software Update

2010-07-20 17:21 . 2010-07-20 17:21        --------        d-----w-        c:\programme\Bonjour

2010-07-17 20:41 . 2010-07-17 20:41        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2010-07-17 09:43 . 2010-07-17 09:43        503808        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-416bc612-n\msvcp71.dll

2010-07-17 09:43 . 2010-07-17 09:43        499712        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-416bc612-n\jmc.dll

2010-07-17 09:43 . 2010-07-17 09:43        348160        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-416bc612-n\msvcr71.dll

2010-07-17 09:43 . 2010-07-17 09:43        61440        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1f3d3506-n\decora-sse.dll

2010-07-17 09:43 . 2010-07-17 09:43        12800        ----a-w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1f3d3506-n\decora-d3d.dll

2010-07-17 09:43 . 2010-07-25 19:18        423656        ----a-w-        c:\windows\system32\deployJava1.dll

2010-07-16 06:19 . 2010-07-16 06:19        73000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.1.4\SetupAdmin.exe

2010-07-14 16:04 . 2010-07-14 16:04        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\AdobeUM

2010-07-14 16:03 . 2010-07-14 16:04        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

2010-07-12 18:20 . 2010-07-12 18:20        --------        d-----w-        c:\programme\CCleaner

2010-07-12 17:14 . 2010-07-12 17:14        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2010-07-12 17:01 . 2010-07-12 17:01        --------        d-----r-        c:\dokumente und einstellungen\Administrator\Eigene Dateien

2010-07-12 16:29 . 2010-07-12 16:29        --------        d-----w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Malwarebytes

2010-07-12 16:22 . 2010-07-12 16:22        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\PrivacIE

2010-07-12 16:04 . 2010-07-12 16:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-07-12 16:04 . 2010-07-12 16:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-07-12 16:01 . 2010-07-12 16:01        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\IETldCache

2010-07-12 13:53 . 2010-07-12 17:01        --------        d-----w-        c:\dokumente und einstellungen\hotta\Lokale Einstellungen\Anwendungsdaten\wkiewxtss
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-24 22:43 . 2009-03-07 13:02        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2010-07-24 18:46 . 2003-04-02 12:00        80290        ----a-w-        c:\windows\system32\perfc007.dat

2010-07-24 18:46 . 2003-04-02 12:00        448726        ----a-w-        c:\windows\system32\perfh007.dat

2010-07-22 19:42 . 2009-01-26 17:38        --------        d-----w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\AdobeUM

2010-07-21 16:42 . 2010-07-21 16:42        805        ----a-w-        c:\windows\system32\drivers\SYMEVENT.INF

2010-07-21 16:42 . 2010-07-21 16:42        7443        ----a-w-        c:\windows\system32\drivers\SYMEVENT.CAT

2010-07-21 16:34 . 2009-01-20 19:27        22304        ----a-w-        c:\dokumente und einstellungen\hotta\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-07-21 16:29 . 2009-01-23 19:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

2010-07-21 16:29 . 2010-01-15 17:35        --------        d-----w-        c:\programme\McAfee

2010-07-21 16:29 . 2010-01-15 17:35        --------        d-----w-        c:\programme\Gemeinsame Dateien\McAfee

2010-07-20 17:25 . 2009-02-12 14:28        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple

2010-07-20 17:24 . 2009-02-12 14:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer

2010-07-12 18:22 . 2009-10-18 14:38        --------        d-----w-        c:\dokumente und einstellungen\hotta\Anwendungsdaten\Media Player Classic

2010-05-18 14:35 . 2010-05-18 14:35        91424        ----a-w-        c:\windows\system32\dnssd.dll

2010-05-18 14:35 . 2010-05-18 14:35        197920        ----a-w-        c:\windows\system32\dnssdX.dll

2010-05-18 14:35 . 2010-05-18 14:35        107808        ----a-w-        c:\windows\system32\dns-sd.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SigmatelSysTrayApp"="stsystra.exe" [2006-07-27 282624]

"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608]

"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2009-1-24 25214]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]

2002-04-11 03:19        69632        ----a-w-        c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

2006-03-30 15:45        313472        ----a-r-        c:\programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
 

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1107000.00C\symds.sys [21.07.2010 18:59 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1107000.00C\symefa.sys [21.07.2010 18:59 173104]

R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20100709.001\BHDrvx86.sys [09.07.2010 21:44 691248]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1107000.00C\cchpx86.sys [21.07.2010 18:59 501888]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1107000.00C\ironx86.sys [21.07.2010 18:59 116784]

R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\17.7.0.12\ccsvchst.exe [21.07.2010 18:58 126392]

R3 BENDER;Pinnacle DV/AV Capture;c:\windows\system32\drivers\bender.sys [22.01.2009 20:10 200320]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [21.07.2010 18:53 102448]

R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20100723.001\IDSXpx86.sys [24.07.2010 14:45 331640]

S3 yeddef;YEDDEF driver;c:\windows\system32\Drivers\yeddef.sys --> c:\windows\system32\Drivers\yeddef.sys [?]

.

Inhalt des "geplante Tasks" Ordners
 

2010-07-20 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

TCP: {CF28C0C4-A942-46D5-BDC4-C924E168E0E3} = 89.246.64.38 82.145.9.38

DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxps://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
 
 
 

**************************************************************************

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NIS]

"ImagePath"="\"c:\programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\17.7.0.12\diMaster.dll\" /prefetch:1"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(944)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(3792)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Zeit der Fertigstellung: 2010-07-26  21:17:48

ComboFix-quarantined-files.txt  2010-07-26 19:17
 

Vor Suchlauf: 9 Verzeichnis(se), 69.055.512.576 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 69.242.351.616 Bytes frei
 

- - End Of File - - D4A6519C272DDAC46A6DE3B0150FAD7C

--- --- ---

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne, hier das Log von Malewarebytes:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4358

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.07.2010 20:28:33
mbam-log-2010-07-27 (20-28-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 207875
Laufzeit: 27 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und hier das Log von SUPERAntiSpyware. Eswurde ein Rootkit gefunden. Ich glaube aber das dieses aus der Quarantäne von Combofix stammt. Demnach müsste Combofix gestern etwas entdeckt haben.
Hier ist das Log:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 07/27/2010 at 09:25 PM

Application Version : 4.41.1000

Core Rules Database Version : 5274
Trace Rules Database Version: 3086

Scan type : Complete Scan
Total Scan Time : 00:48:14

Memory items scanned : 645
Memory threats detected : 0
Registry items scanned : 6495
Registry threats detected : 0
File items scanned : 75905
File threats detected : 1

Rootkit.Agent/Gen-TDSS
C:\QOOBOX\32788R22FWJFW\ATAPI.SYS

Hier nochmal zur Info, das Quarantäne-Log von Combofix:

2010-07-26 19:17:02 . 2010-07-26 19:17:02 146 ----a-w- C:\Qoobox\Quarantine\Registry_backups\ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}.reg.dat
2010-07-26 19:15:45 . 2010-07-26 19:15:45 8,608 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-07-26 18:42:57 . 2010-07-26 19:11:36 204 ----a-w- C:\Qoobox\Quarantine\catchme.log

Hallo Arne, ist Dir noch etwas aufgefallen? Sind die gefixten Funde von Combofix und SUPERAntiSpyware bedenklich? Danke für Deine Hilfe.

Der Fund von SASW war im Quarantäneordner von Combofix.
Rechner wieder ok oder gabs noch Funde in der Zwischenzeit?

Hallo Arne,
der Fund war nicht direkt im Quarantäne-Ordner sondern im Ordner mit der Bezeichnung 32788R22FWJFW. In diesem Ordner befinden sich noch etliche andere Systemdatein und Treiberdatein, mit jeweils unterschiedlichem Ursprungsdatum. Fehlen diese Datein jetzt irgendwo in meinem System? Kann ich, wenn ich Combofix lösche auch diese dazugehörigen Ordner entfernen? Danke für Deine Hilfe.

Ich meinte diesen Eontrag:

Rootkit.Agent/Gen-TDSS
C:\QOOBOX\32788R22FWJFW\ATAPI.SYS

Da ist zwar der von Dir angesprochene Ordner auch, aber der liegt im Quarantäneordner von CF, und das ist nunmal Qoobox ;)

Qoobox kannst Du löschen, aber der stört nicht, da die Schädlinge dort isoliert sind und so erstmal keinen Schaden anrichten können.

Muss ich mir wegen der vielen anderen Systemdatein in dem
Ordner 32788R22FWJFW gedanken machen? Oder gehören die regulär zu Combofix? Ich möchte abschließend nur noch einen Malewarescanner auf meinem Rechner lassen, und deshalb combofix löschen.
Danke für Deine Hilfe.

Die gehören nicht zu CF, CF hat die gelöscht und in seinen Quarantäneordner als Backup abgelegt!

Kann das jetzt zu Problemen am Betriebssystem führen? Weil die ja alle Systemdatein zu sein scheinen.

Das sind Schädlinge!! Schädlinge geben sich auch gern als Systemdatei aus!

Nach diesen ganzen Funden traue ich meinem System nicht mehr richtig.
Somit möchte ich den langwierigen Weg gehen und C formatieren und anschließend das Betriebssystem neu aufspielen.
Abschließend habe ich noch eine wichtige Frage!

Ich habe in meinem Rechner zwei Festplatten. Au der ersten befinden sich zwei Partitionen, C (Systempartition) und D, die Partition mit meinen ganzen Datein.
Die Zweite Festplatte (J) dient dem Backup von D.
Beim allerersten Scan, am 12. Juli wurde von Malwarebytes bei D und J etwas in der Volumeinformation gefunden und gelöscht.

Wenn ich jetzt C formatiere, kann ich dann davon ausgehen das D und J sauber sind?
Nochmals danke, das Du Dir für mein Problem soviel Zeit genommen hast.

Zitat:

Wenn ich jetzt C formatiere, kann ich dann davon ausgehen das D und J sauber sind?

Ja, normalerweise ja. Du solltest aber alles was ausführbar ist auf den anderen Platten, mit der Kneifzange anfassen. Ausführbare Dateien (Programme und Setups) könnten schädlich sein, wenn diese vom infizierten System verarbeitet wurden.

Du solltest auch die Systemwiederherstellung auf D und J deaktivieren.