Trojaner TR/Crypt.XPACK:Gen
 

Habe Trojaner mit Malwarebytes von Festplatte entfernt und meinen USB Stick formatiert. Wenn ich nun meinen USB Stick wieder anschließe, meldet Antivir, dass die autorun.inf geblockt wird, da es eine schädliche Datei ist. Was nun tun? Ist auf dem Stick noch ein Trojaner? Malwarebytes findet nichts mehr.
OTL habe ich noch nicht laufen lassen.
Gruß Buffi


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5150

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.11.2010 10:40:26
mbam-log-2010-11-19 (10-40-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 168278
Laufzeit: 19 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\AE\Anwendungsdaten\fhrkmk.exe (Spyware.Passwords.XGen) -> Not selected for removal.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\sysinfo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\rundll32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\openfiles.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\help.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\defrag.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\defrag.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\sysinfo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\rundll32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\openfiles.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\help.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc167\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Temp\0.0634548157382202.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.




Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5164

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.11.2010 20:13:10
mbam-log-2010-11-21 (20-13-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167384
Laufzeit: 14 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Edit: Ups, Cosinus war eine Minute schneller als ich :)

Hallo!
Hier nun der vollständige scan.
Immer wenn ich einen USB Stick anschließe, dann blockiert Antivir die autorun.inf Datei.
Ist diese Datei normal bei einem USB Stick? Früher war das nicht so.
Ich hatte am 29/30.10.10 Probleme mit einem USB STick, Olympus Digital Voice Recorder. Kann es sein, dass die Datei von diesem Recorder kommt und sich auch auf andere Sticks kopiert hat?

Ich vermute eher, dass der Trojaner vom Metatrader4 update kommt da ich Ihn auch auf einem anderen Rechner bekommen habe.

Danke für die Bemühungen
Gruß Buffi



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5165

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.11.2010 02:56:25
mbam-log-2010-11-22 (02-56-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 635834
Laufzeit: 5 Stunde(n), 47 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

***********************
OTL Logfile:
--- --- ---


****************************
OTL Logfile:
--- --- ---

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hab das so durchgeführt. Alles ins Fenster kopiert und mit Fix Start. Nach einigen Minuten fuhr der Rechner runter. Nach dem Neustart war die OTL.exe Datei nicht mehr im Verzeichnis. Wenn ich nun nachereinander die USB Sticks anschließe, meldet sich jedesmal wieder der Antivirscanner mit der Fehlermeldung: Autorun blockiert.

Was nun?

Was für ein Verzeichnis? OTL.exe sollte auf dem Desktop direkt sein.

OTL hatte ich direkt vom Downloadverzeichnis gestartet.

Nun hat OTL ein neues Verzeichnis angelegt. Darin enthalten ist z.B. die Autoexec.bat.
Ramdrive.sys.
smartdrv.exe

Was soll das?

Eine log Datei wurde auch noch angelegt.

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
D:\AUTOEXEC.BAT moved successfully.
File not found.
File not found.
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05607086-16f7-11df-ac83-000b6ae85169}\ not found.
File J:\Get_Started_for_Win.exe not found.
C:\smartdrv.exe moved successfully.
C:\RAMDRIVE.SYS moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 109030208 bytes
->Temporary Internet Files folder emptied: 81644570 bytes
->Java cache emptied: 28436098 bytes
->Google Chrome cache emptied: 76368562 bytes
->Opera cache emptied: 9168327 bytes
->Flash cache emptied: 2974 bytes

User: Administrator
->Temp folder emptied: 27663599 bytes
->Temporary Internet Files folder emptied: 40257659 bytes

User: AE
->Temp folder emptied: 515812278 bytes
->Temporary Internet Files folder emptied: 95432731 bytes
->Java cache emptied: 29081430 bytes
->FireFox cache emptied: 32749881 bytes
->Google Chrome cache emptied: 19564625 bytes
->Opera cache emptied: 9376257 bytes
->Flash cache emptied: 7835 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14684990 bytes

User: NetworkService
->Temp folder emptied: 470436 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4301564 bytes
%systemroot%\System32 .tmp files removed: 5457287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 631565 bytes
RecycleBin emptied: 220236 bytes

Total Files Cleaned = 1.049,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11222010_101958

Überleg mal, man fixt hier und was was und möchte evtl später was rückgängig machen. Das geht nur wenn man ein Backup von den gefixten/gelöschten Sachen hat. Jetz darfst du 3x raten wofür der "_OTL" Ordner da ist.

OTL.exe Programm ist nicht mehr vorhanden im Ordner.

Was ist den "fixen" bei diesem Programm?

Was ist mit autorun.inf Datei, die der Antivir immer wieder beanstandet, sobald ich einen Stick anschließe?
Hast was gefunden in den ganzen logs bisher?

Was gefixt wird hast du schon gesehen, das ist der Text den du bei OTL reinkopieren solltest.

Ungenauer gehts nicht? Es wurde in der Anweisung klar und deutlich gesagt, du solltest die otl.exe auf dem Desktop speichern und nicht in irgendeinen Ordner. Egal jetzt.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bis jetzt sieht es so aus, als ob die USB Sticks ohne Blockierung funktionieren.

Wie geht es weiter?
Danke bis hierher.

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Cosinus!
Gmer ist jetzt ca. 36 Stunden gelaufen. Wolte die Log Datei kopieren und hier einfügen. Leider konnte ich weder den IE noch opera öffnen. Habe dann die log auf den Desktop abgespeichert. Im Anschluss konnte ich den Rechner nur noch warm starten.
Nach dem Warmstart finde ich die Datei nicht mehr. Wo wird sie wohl sein?
Bei den logs waren einige rote Einträge. Ein paar Einträge waren im Verzeichnis von Google .
Soll ich den Test nochmals wiederholen oder ist er evtl. nicht so wichtig?

So lange braucht GMER eigentlich nicht :crazy:
Lass es weg und mach erstmal nur osam und mbrcheck

Seit ich Gmer ausgeführt habe, stürzt mir der Rechner immer wieder ab.
Was sagt den die Fehlermeldung aus?

Habe viele doppelte Dateien auf meiner Festplatte. Ich will da mal ausmisten. Mit welchem Programm kann man diese doppelten finden und effektiv ausfiltern bzw.löschen?
Geht da auch mit Freecommander? Dieser wäre schon vorhanden.

Kannst du die anderen Tools nicht ausführen?

Hallo!
Jetzt hat es etwas gedauert, Aber ich hab erst. 60GB von der Platte entfernt.


GMER Logfile:
GMER Logfile:
GMER Logfile:
--- --- ---
[/ CODE]
--- --- ---

--- --- ---





OSAM Logfile:
[CODE] Bericht OSAM: Autorun Manager v5.0.11926.0
hxxp: / / www.online-solutions.ru/en/
Gespeichert am 23.03.19 auf 2010.11.26

Betriebssystem: Windows XP Professional Service Pack 3 (Build 2600)
Standard-Browser: Opera Software Opera Internet Browser 10,63

Scanner-Einstellungen
[X] Entdeckung von Rootkits (versteckte Registry)
[X] Entdeckung von Rootkits (versteckte Dateien)
[X] Dateien abrufen Informationen
[X] Einchecken Microsoft Signaturen

Filter
[] Trusted Einträge
[] Leere Einträge
[X] Versteckte Registry-Einträge (Rootkit-Aktivität)
[X] Exklusiv geöffneten Dateien
[X] Nicht gefundene Dateien
[X] Dateien ohne detaillierte Informationen
[X] Vorhandene Dateien
[] Nicht startbar Dienste
[] Nicht startbar Treiber
[X] Active Einträge
[X] deaktiviert Einträge


[Boot Execute]
-----( HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager )-----
"BootExecute" -? - C: \ WINDOWS \ system32 \ lsdelete.exe (Datei gefunden, aber es enthält keine detaillierten Informationen)

[Common]
-----(% SystemRoot% \ Tasks )-----
"Ad-Aware Update (wöchentlich) Job." - "Lavasoft" - C: \ Programme \ Lavasoft \ Ad-Aware \ Ad-AwareAdmin.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C: \ Programme \ Google \ Update \ GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C: \ Programme \ Google \ Update \ GoogleUpdate.exe
"Planmäßiger MP Scan.job" - "Microsoft Corporation" - C: \ Programme \ Windows Defender \ MpCmdRun.exe

[Systemsteuerung Objects]
-----(% SystemRoot% \ system32 )-----
"Infocardcpl.cpl" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ infocardcpl.cpl
"Javacpl.cpl" - "Sun Microsystems, Inc." - C: \ WINDOWS \ system32 \ javacpl.cpl
"Nvcpl.cpl" - "NVIDIA Corporation" - C: \ WINDOWS \ system32 \ nvcpl.cpl
"Nvtuicpl.cpl" - "NVIDIA Corporation" - C: \ WINDOWS \ system32 \ nvtuicpl.cpl
-----( HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Control Panel \ CPLS )-----
"Avira AntiVir Personal - Free Antivirus" - "Avira GmbH" - C: \ PROGRA ~ 1 \ Avira \ antivi ~ 1 \ avconfig.cpl

[Drivers]
-----( HKLM \ SYSTEM \ CurrentControlSet \ Services )-----
"Acedrv11" (acedrv11) - "Protect Software GmbH." - C: \ WINDOWS \ system32 \ drivers \ acedrv11.sys
"Avgio" (avgio) - "Avira GmbH" - C: \ Programme \ Avira \ AntiVir Desktop \ avgio.sys
"Avgntflt" (avgntflt) - "Avira GmbH" - C: \ WINDOWS \ System32 \ DRIVERS \ avgntflt.sys
"Avipbb" (avipbb) - "Avira GmbH" - C: \ WINDOWS \ System32 \ DRIVERS \ avipbb.sys
"Bluetooth Audio" (TosRfSnd) -? - C: \ WINDOWS \ System32 \ drivers \ tosrfsnd.sys (Datei nicht gefunden)
"Bluetooth COM Port" (tosporte) -? - C: \ WINDOWS \ System32 \ DRIVERS \ tosporte.sys (Datei nicht gefunden)
"Bluetooth Personal Area Network" (tosrfnds) -? - C: \ WINDOWS \ System32 \ DRIVERS \ tosrfnds.sys (Datei nicht gefunden)
"Bluetooth RFBNEP" (tosrfbnp) -? - C: \ WINDOWS \ System32 \ Drivers \ tosrfbnp.sys (Datei nicht gefunden)
"Bluetooth RFBUS" (tosrfbd) -? - C: \ WINDOWS \ System32 \ DRIVERS \ tosrfbd.sys (Datei nicht gefunden)
"Bluetooth RFCOMM" (Tosrfcom) -? - C: \ WINDOWS \ System32 \ Drivers \ tosrfcom.sys (Datei nicht gefunden)
"Bluetooth RFHID" (Tosrfhid) -? - C: \ WINDOWS \ System32 \ DRIVERS \ Tosrfhid.sys (Datei nicht gefunden)
"Bluetooth-USB-Controller" (Tosrfusb) -? - C: \ WINDOWS \ System32 \ DRIVERS \ tosrfusb.sys (Datei nicht gefunden)
"CatchMe" (CatchMe) -? - C: \ DOKUME ~ 1 \ AE \ LOKALE ~ 1 \ Temp \ catchme.sys (Datei nicht gefunden)
"Cercsr6" (cercsr6) - "Adaptec, Inc." - C: \ WINDOWS \ system32 \ drivers \ cercsr6.sys
"Changer" (Wechsler) -? - C: \ WINDOWS \ system32 \ drivers \ Changer.sys (Datei nicht gefunden)
"GVCplDrv" (GVCplDrv) -? - C: \ WINDOWS \ system32 \ drivers \ GVCplDrv.sys (Datei gefunden, aber es enthält keine detaillierten Informationen)
"I2omgmt" (i2omgmt) -? - C: \ WINDOWS \ system32 \ drivers \ i2omgmt.sys (Datei nicht gefunden)
"Icatch (IV) Still Camera Device" (USBCamera) -? - C: \ WINDOWS \ System32 \ Drivers \ Bulk533.sys (Datei nicht gefunden)
"Icatch (IV) Videokamera Device" (Ca533av) -? - C: \ WINDOWS \ System32 \ Drivers \ Ca533av.sys (Datei nicht gefunden)
"Lbd" (LBD) - "Lavasoft AB" - C: \ WINDOWS \ System32 \ DRIVERS \ Lbd.sys
"Lbrtfdc" (lbrtfdc) -? - C: \ WINDOWS \ system32 \ drivers \ lbrtfdc.sys (Datei nicht gefunden)
"Logitech QuickCam S5500 (UVC)" (LVUVC) -? - C: \ WINDOWS \ System32 \ DRIVERS \ lvuvc.sys (Datei nicht gefunden)
"Logitech RightSound Filter Driver" (LVRS) -? - C: \ WINDOWS \ System32 \ DRIVERS \ lvrs.sys (Datei nicht gefunden)
"NTSIM" (NTSIM) - "VIA Networking Technologies, Inc." - C: \ WINDOWS \ system32 \ ntsim.sys
"PCIDump" (PCIDump) -? - C: \ WINDOWS \ system32 \ drivers \ PCIDump.sys (Datei nicht gefunden)
"PDCOMP" (PDCOMP) -? - C: \ WINDOWS \ system32 \ drivers \ PDCOMP.sys (Datei nicht gefunden)
"PDFRAME" (PDFRAME) -? - C: \ WINDOWS \ system32 \ drivers \ PDFRAME.sys (Datei nicht gefunden)
"PDRELI" (PDRELI) -? - C: \ WINDOWS \ system32 \ drivers \ PDRELI.sys (Datei nicht gefunden)
"PDRFRAME" (PDRFRAME) -? - C: \ WINDOWS \ system32 \ drivers \ PDRFRAME.sys (Datei nicht gefunden)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C: \ WINDOWS \ System32 \ Drivers \ PxHelp20.sys
"Ssmdrv" (ssmdrv) - "Avira GmbH" - C: \ WINDOWS \ System32 \ DRIVERS \ ssmdrv.sys
"StarOpen" (StarOpen) -? - C: \ WINDOWS \ system32 \ drivers \ StarOpen.sys (Datei gefunden, aber es enthält keine detaillierten Informationen)
"UVC Filter Service" (FilterService) -? - C: \ WINDOWS \ System32 \ DRIVERS \ lvuvcflt.sys (Datei nicht gefunden)
"Uwlyrpow" (uwlyrpow) -? - C: \ DOKUME ~ 1 \ AE \ LOKALE ~ 1 \ Temp \ uwlyrpow.sys (Hidden Registrierungseintrag, Rootkit-Tätigkeit | Datei nicht gefunden)
"VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber" (FETNDIS) -? - C: \ WINDOWS \ System32 \ DRIVERS \ fetnd5.sys (Datei nicht gefunden)
"WDICA" (WDICA) -? - C: \ WINDOWS \ system32 \ drivers \ WDICA.sys (Datei nicht gefunden)

[Explorer]
-----( HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Shell Extensions \ Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C: \ PROGRA ~ 1 \ gemein ~ 1 \ MICROS ~ 1 \ WEBFOL ~ 1 \ Msonsext.dll
-----( HKLM \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ rundll32.exe C: \ WINDOWS \ system32 \ mscories.dll, Installieren
-----( HKLM \ Software \ Classes \ Folder \ shellex \ ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C: \ Programme \ Gemeinsame Dateien \ Adobe \ Acrobat \ ActiveX \ PDFShell.dll
-----( HKLM \ Software \ Classes \ Protokolle \ Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ mscoree.dll
-----( HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ShellExecuteHooks )-----
{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} "Microsoft AntiMalware ShellExecuteHook" - "Microsoft Corporation" - C: \ PROGRA ~ 1 \ WIFD1F ~ 1 \ MpShHook.dll
-----( HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Shell Extensions \ Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" -? - Deskpan.dll (Datei nicht gefunden)
{1CDB2949-8F65-4.355-8.456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C: \ WINDOWS \ system32 \ nvshell.dll
{1E9B04FB-f9e5-4718-997B-B8DA88302A47} "Desktop Explorer-Menü" - "NVIDIA Corporation" - C: \ WINDOWS \ system32 \ nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für sterben Verschlüsselung" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden)
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office-Metadaten-Handler" - "Microsoft Corporation" - C: \ PROGRA ~ 1 \ gemein ~ 1 \ MICROS ~ 1 \ Office12 \ msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Vorschaubild Handler" - "Microsoft Corporation" - C: \ PROGRA ~ 1 \ gemein ~ 1 \ MICROS ~ 1 \ Office12 \ msoshext.dll
{1E9B04FB-f9e5-4718-997B-B8DA88302A48} "nView Desktop-Kontextmenü" - "NVIDIA Corporation" - C: \ WINDOWS \ system32 \ nvshell.dll
{0006F045-0000 bis 0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office \ OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension für Malware-Scanning" - "Avira GmbH" - C: \ Programme \ Avira \ AntiVir Desktop \ shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler für Anwendungen Referenzen" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ dfshim.dll
{764BF0E1-F219-11CE-972D-00AA00A14F56} "für Shellerweiterungen sterben Dateikomprimierung" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden)
{E82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink für Anwendungen Referenzen" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ dfshim.dll
{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} "UnlockerShellExtension" -? - C: \ Programme \ Unlocker \ UnlockerCOM.dll (Datei gefunden, aber es enthält keine detaillierten Informationen)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C: \ Programme \ WinRAR \ rarext.dll

[Internet Explorer]
-----( HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ WebBrowser )-----
<binary Daten> "Google Toolbar" - "Google Inc." - C: \ Programme \ Google \ Google Toolbar \ GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden)
<binary Daten> "ITBar7Layout" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden)
<binary Daten> "ITBarLayout" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden)
-----( HKLM \ SOFTWARE \ Microsoft \ Code Store Database \ Distribution Units )-----
{8BBDC81D-81B3-87E8-49EE-47B7A707FAE8} "GoToMeeting Web Starter" - "Citrix Online, ein Geschäftsbereich von Citrix Systems, Inc." - C: \ WINDOWS \ Downloaded Program Files \ g2mdlax.dll / https: / / www2.gotomeeting.com/default/applets/g2mdlax.cab
{57CD0DF4-DACC-439D-9173-3F6A8EC3FFE4} "IPCamPluginMegaDPT Control" -? - C: \ WINDOWS \ downlo ~ 1 \ IPCamPluginMegaDPT.ocx / hxxp: / / 192.168.178.22/IPCamPluginMegaDPT.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C: \ Programme \ Java \ jre6 \ bin \ npjpi160_15.dll / hxxp: / / java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C: \ Programme \ Java \ jre6 \ bin \ npjpi160_15.dll / hxxp: / / java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C: \ Programme \ Java \ jre6 \ bin \ npjpi160_15.dll / hxxp: / / java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{74DBCB52-F298-4110-951D-AD2FF67BC8AB} "NVIDIA Smart Scan" - "NVIDIA" - C: \ WINDOWS \ downlo ~ 1 \ NVIDIA ~ 1.OCX / hxxp: / / www.nvidia.com/content/DriverDownload/ nforce / NvidiaSmartScan.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C: \ WINDOWS \ system32 \ Macromed \ Flash \ Flash10e.ocx / hxxp: / / download.macromedia.com / pub / shockwave / Kabinen / flash / swflash.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden) / hxxp: / / fpdownload.macromedia.com / get / flashplayer / Strom / Eisbär / ultrashim.cab
{E2883E8F-472f-4FB0-9522-AC9BF37916A7} "{E2883E8F-472f-4FB0-9522-AC9BF37916A7}" -? - (Datei nicht gefunden | COM-Objekt Registrierungsschlüssel nicht gefunden) / hxxp: / / platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main )-----
<binary Daten> "Google Toolbar" - "Google Inc." - C: \ Programme \ Google \ Google Toolbar \ GoogleToolbar_32.dll
-----( HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C: \ Programme \ Gemeinsame Dateien \ Adobe \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C: \ Programme \ Google \ Google Toolbar \ GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C: \ Programme \ Google \ GoogleToolbarNotifier \ 5.6.5612.1312 \ swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java (TM) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C: \ Programme \ Java \ jre6 \ bin \ jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Klasse" - "Sun Microsystems, Inc." - C: \ Programme \ Java \ jre6 \ lib \ deploy \ JQS \ dh \ jqs_plugin.dll

[Anmeldung]
-----(% AlleBenutzerprofile% \ Startmenü \ Programme \ Autostart )-----
"Desktop.ini" -? - C: \ Documents and Settings \ All Users \ Startmenü \ Programme \ Autostart \ desktop.ini
"Hardcopy.LNK" - "sw4you, Siegfried Weckmann" - C: \ Programme \ Hardcopy \ hardcopy.exe (Shortcut existiert | Datei existiert)
-----(% UserProfile% \ Startmenü \ Programme \ Autostart )-----
"Desktop.ini" -? - C: \ Documents and Settings \ AE \ Startmenü \ Programme \ Autostart \ desktop.ini
-----( HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run )-----
"GMX SMS-Manager" - "1 & 1 Internet AG" - C: \ Programme \ GMX \ GMX SMS-Manager \ SMSMngr.exe
"SWG" - "Google Inc." - "C: \ Programme \ Google \ GoogleToolbarNotifier \ GoogleToolbarNotifier.exe"
-----( HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C: \ Programme \ Gemeinsame Dateien \ Adobe \ ARM \ 1.0 \ AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C: \ Programme \ Adobe \ Reader 9.0 \ Reader \ Reader_sl.exe"
"Avgnt" - "Avira GmbH" - "C: \ Programme \ Avira \ AntiVir Desktop \ avgnt.exe" / min
"GMX Update" -? - C: \ Programme \ GMX \ LiveUpdate \ m2LUTray.exe (Datei gefunden, aber es enthält keine detaillierten Informationen)
"NVRTCLK" -? - C: \ WINDOWS \ system32 \ NVRTCLK \ NVRTClk.exe
"UnlockerAssistant" -? - "C: \ Programme \ Unlocker \ UnlockerAssistant.exe" (Datei gefunden, aber es enthält keine detaillierten Informationen)

[Print-Monitore]
-----( HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print \ Monitors )-----
"PDFCreator" -? - C: \ WINDOWS \ system32 \ pdfcmnnt.dll (Datei gefunden, aber es enthält keine detaillierten Informationen)

[Dienstleistungen]
-----( HKLM \ SYSTEM \ CurrentControlSet \ Services )-----
". NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C: \ WINDOWS \ Microsoft.NET \ Framework \ v2.0.50727 \ mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C: \ WINDOWS \ Microsoft.NET \ Framework \ v2.0.50727 \ aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C: \ Programme \ Avira \ AntiVir Desktop \ avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C: \ Programme \ Avira \ AntiVir Desktop \ sched.exe
"AVM FRITZ Box-Kindersicherung" (avmidentd) - "AVM Berlin" - C: \ Programme \ FRITZ Box-Kindersicherung \ avmident.exe
"Google Software Updater" (AntiVirScheduler) - "Google" - C: \ Programme \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
"Google Update Service (gupdate1ca4858decf6a5c)" (gupdate1ca4858decf6a5c) - "Google Inc." - C: \ Programme \ Google \ Update \ GoogleUpdate.exe
"NMSAccess" (NMSAccess) -? - C: \ Programme \ CDBurnerXP \ NMSAccessU.exe (Datei gefunden, aber es enthält keine detaillierten Informationen)
"Windows Defender" (WinDefend) - "Microsoft Corporation" - C: \ Programme \ Windows Defender \ MsMpEng.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ WPF \ PresentationFontCache.exe

[Winlogon]
-----( HKCU \ Control Panel \ IOProcs )-----
"MVB" -? - Mvfs32.dll (Datei nicht gefunden)
-----( HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify )-----
"WgaLogon" - "Microsoft Corporation" - C: \ WINDOWS \ system32 \ WgaLogon.dll

=== [Logfile Ende ]=========================================[ Logfile Ende] ===
[/ CODE]
--- --- ---

Wenn Sie Fragen haben oder möchten etwas Hilfe zu bekommen, besuchen Sie hxxp: / / forum.online-solutions.ru






GMER Logfile:
GMER Logfile:
--- --- ---
--- --- ---

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd

Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF798B000 viaide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF798D000 dmload.sys
0xF74B1000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7499000 atapi.sys
0xF7487000 viamraid.sys
0xF746F000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF7717000 cercsr6.sys
0xF7627000 disk.sys
0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF744F000 fltmgr.sys
0xF743D000 sr.sys
0xF7647000 Lbd.sys
0xF7657000 PxHelp20.sys
0xF7426000 KSecDD.sys
0xF7413000 WudfPf.sys
0xF7B52000 Ntfs.sys
0xF786A000 NDIS.sys
0xF7667000 uagp35.sys
0xBA7E6000 Mup.sys
0xBA449000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9C2E000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9C1A000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA439000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA429000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA419000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9BF7000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7817000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9BD3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF781F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7727000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9BBF000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA7A2000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xBA409000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7747000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB9EF5000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF76A7000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA79E000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB9A71000 \SystemRoot\system32\drivers\cmuda.sys
0xB9A4D000 \SystemRoot\system32\drivers\portcls.sys
0xF76B7000 \SystemRoot\system32\drivers\drmk.sys
0xF76C7000 \SystemRoot\system32\DRIVERS\fetnd5b.sys
0xF7A60000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF79AF000 \SystemRoot\System32\Drivers\RootMdm.sys
0xB9EED000 \SystemRoot\System32\Drivers\Modem.SYS
0xF76D7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA79A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9A36000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF76E7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB9EE5000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9A25000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7586000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB9EDD000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB9ED5000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB99F5000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7576000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF79B1000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9997000 \SystemRoot\system32\DRIVERS\update.sys
0xBA77E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7566000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7556000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79B3000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB9EC5000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF79B5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA39A000 \SystemRoot\System32\Drivers\Null.SYS
0xF79B7000 \SystemRoot\System32\Drivers\Beep.SYS
0xB9EB5000 \SystemRoot\System32\drivers\vga.sys
0xF79B9000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79BB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB9EAD000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF774F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA36D000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB844A000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB83F1000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB83C9000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB83A3000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7506000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB8381000 \SystemRoot\System32\drivers\afd.sys
0xF74F6000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7757000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB8356000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB82E6000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA766000 \SystemRoot\System32\Drivers\Fips.SYS
0xB82C3000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF79C1000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF793B000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF775F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xBA736000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB8283000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79C5000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xBA7B6000 \SystemRoot\System32\drivers\Dxapi.sys
0xF776F000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AB1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB740B000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF79A9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB7137000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
0xB6E16000 \SystemRoot\system32\drivers\wdmaud.sys
0xB87E5000 \SystemRoot\system32\drivers\sysaudio.sys
0xB6A5F000 \SystemRoot\System32\Drivers\HTTP.sys
0xB6A2F000 \SystemRoot\System32\Drivers\GVCplDrv.SYS
0xB5987000 \??\C:\DOKUME~1\AE\LOKALE~1\Temp\uwlyrpow.sys
0xB595C000 \SystemRoot\system32\drivers\kmixer.sys
0xF77BF000 \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
0xB5640000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
0 System Idle Process
4 System
700 C:\WINDOWS\system32\smss.exe
948 csrss.exe
988 C:\WINDOWS\system32\winlogon.exe
1052 C:\WINDOWS\system32\services.exe
1064 C:\WINDOWS\system32\lsass.exe
1252 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1356 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1856 C:\WINDOWS\system32\svchost.exe
1960 svchost.exe
164 C:\Programme\Windows Defender\MsMpEng.exe
256 C:\WINDOWS\system32\svchost.exe
312 svchost.exe
388 C:\WINDOWS\system32\svchost.exe
484 C:\WINDOWS\system32\spoolsv.exe
584 C:\Programme\Avira\AntiVir Desktop\sched.exe
884 C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe
936 svchost.exe
1332 C:\Programme\CDBurnerXP\NMSAccessU.exe
1376 C:\WINDOWS\system32\svchost.exe
1440 C:\Programme\Google\Update\GoogleUpdate.exe
456 alg.exe
664 C:\WINDOWS\explorer.exe
2020 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2056 C:\Programme\GMX\LiveUpdate\m2LUTray.exe
2080 C:\WINDOWS\system32\rundll32.exe
2160 C:\Programme\Unlocker\UnlockerAssistant.exe
2212 C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
2244 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2268 C:\WINDOWS\system32\ctfmon.exe
2492 C:\WINDOWS\system32\svchost.exe
3632 C:\WINDOWS\system32\wscntfy.exe
1248 C:\Programme\Opera\opera.exe
2420 C:\Programme\Internet Explorer\iexplore.exe
2764 C:\Programme\Internet Explorer\iexplore.exe
3944 C:\WINDOWS\explorer.exe
3196 C:\Programme\Internet Explorer\iexplore.exe
3352 C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
2252 C:\WINDOWS\system32\notepad.exe
4076 C:\Programme\Internet Explorer\iexplore.exe
3880 C:\Dokumente und Einstellungen\AE\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\G: --> \\.\PhysicalDrive1 at offset 0x0000001f`ff590600 (NTFS)
\\.\H: --> \\.\PhysicalDrive1 at offset 0x00000007`52c5e000 (NTFS)
\\.\I: --> \\.\PhysicalDrive1 at offset 0x00000011`16a23600 (NTFS)

PhysicalDrive0 Model Number: ST3160815A, Rev: 3.AAD
PhysicalDrive1 Model Number: ST3160815A, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
149 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/27/2010 at 10:10 PM

Application Version : 4.46.1000

Core Rules Database Version : 5920
Trace Rules Database Version: 3732

Scan type : Complete Scan
Total Scan Time : 01:57:19

Memory items scanned : 424
Memory threats detected : 0
Registry items scanned : 6681
Registry threats detected : 0
File items scanned : 129596
File threats detected : 27

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\AE\Cookies\ae@imrworldwide[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@rambler[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@serving-sys[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@spylog[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@apmebf[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@traffictrack[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@tradedoubler[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@tracking.mindshare[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@hansenet.122.2o7[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@ad2.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@zanox[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@doubleclick[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@de.at.atwola[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@atdmt[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@ad.zanox[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@tracking.hannoversche[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@apmebf[2].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@mediaplex[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\AE\Cookies\ae@revsci[2].txt
googleads.g.doubleclick.net [ C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\LW_D\Dokumente und Einstellungen\AE\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\P9LT2CFT ]
media.mtvnservices.com [ C:\Dokumente und Einstellungen\AE\Eigene Dateien\zu löschen\SI von Laptop und Trekstor\Dokumente und Einstellungen\Johanna\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\X9F26JU8 ]


Ist nun alles clean?

Malwarebytes nicht mbrcheck ;)

Sorry, hab die falsche Datei erwischt.

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo!
Vielen Dank erstmals.
Probleme gibts manchmal mit Opera. Hab aber noch nicht rausgefunden,mit was es zusammenhängt. Wer heute über Nacht nochmals defragmentieren, da ich ja über 60 GB vom Laufwerk entfernt hab.
Die Programme kann ich ja alle wieder deinstallieren, oder?
Gruß Buffi

Ja kannst du. Ich würde aber eher Firefox statt Opera nehmen. ;)
Sonst noch Probleme?

Hatte heute einen Trojanerscann mit "superantispyware" auf einen anderen Rechner durchgeführt. trojaner (wie bei diesem PC) entfernt und wieder neu gestartet.
Seitdem wenn ich einen bestimmten Anwender bei XP anmelde, meldet sich der Benutzer gleich wieder ab. Dies passiert auch bei einem neu angelegten Benutzer. Beim Administrator und bei einem weiteren Nutzer ist dies allerdings nicht der Fall.
Was kann das sein? Hat es einen Zusammenhang mit dem Trojanertest?
Trojanerprogramm ist jetzt wieder gelöscht.
Was nun tun? Funktioniert immer noch nicht.
Gruß Buffi

Andere Rechner bitte in separaten Strängen (Themen) behandeln. Es wird zu unübersichtlich, deshalb für jeden Rechner einen eigenen Strang!

Die Frage ob du noch weitere Probleme hast bezogen sich auf den Rechner den wir in diesem Strang bereinigt hatten.