Trojaner-Board - Mehrere Viren eingefangen: TR/Trash.Gen, HTML/ExpKit.Gen2, EXP/Java.aqe etc.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mehrere Viren eingefangen: TR/Trash.Gen, HTML/ExpKit.Gen2, EXP/Java.aqe etc. (https://www.trojaner-board.de/98794-mehrere-viren-eingefangen-tr-trash-gen-html-expkit-gen2-exp-java-aqe-etc.html)

Normalerweise werden die mitbereinigt. Deswegen sag ich ja auch immer Vollscans machen :)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich wollte ComboFix gleich durchführen, aber kruze Frage:

Muss ich meine Windows-Firewall auch deaktivieren oder nur Avira?

Avira reicht, Windows-Firewall kannst du aktiviert lassen.

Nach CCleaner habe ich ComboFix durchlaufen lassen. Hier der Log:

Combofix Logfile:

Code:

ComboFix 11-05-10.02 - Melanie 11.05.2011  15:22:35.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.436 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Melanie\Desktop\cofi.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Bitdefender Antivirus *Disabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: Bitdefender Firewall *Disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\Melanie\Anwendungsdaten\PriceGong\Data\z.xml

c:\dokumente und einstellungen\Melanie\Eigene DateienHnw8Hd_cfdg.exe

c:\dokumente und einstellungen\Melanie\Eigene DateienMjh6Ng_cfdg.exe

c:\dokumente und einstellungen\Melanie\WINDOWS

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PriceGong\Data\z.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\Thorsten\Anwendungsdaten\PriceGong\Data\z.xml

c:\programme\Need2Find

c:\programme\Need2Find\bar\History\search

c:\programme\Need2Find\bar\Settings\settings.dat

c:\programme\Need2Find\bar\Settings\settings.htm

c:\programme\Softwin\BitDefender10\bdO.dll

c:\windows\jestertb.dll

.

c:\windows\system32\proquota.exe . . . fehlt!!

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-04-11 bis 2011-05-11  ))))))))))))))))))))))))))))))

.

.

2011-05-11 12:58 . 2011-05-11 12:58        --------        d-----w-        c:\programme\CCleaner

2011-05-10 13:53 . 2011-05-10 13:53        --------        d-----w-        C:\TDSSKiller_Quarantine

2011-05-09 13:19 . 2011-05-09 13:19        --------        d-----w-        C:\_OTL

2011-05-07 16:54 . 2011-05-07 16:54        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Bitdefender

2011-05-07 16:54 . 2011-05-07 16:54        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PowerCinema

2011-05-07 16:53 . 2011-05-07 16:53        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien

2011-05-07 16:53 . 2011-05-07 16:53        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Startmenü

2011-05-07 16:53 . 2011-05-09 13:19        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Tabdep

2011-04-30 18:19 . 2011-04-30 18:19        --------        d-----w-        c:\dokumente und einstellungen\Melanie\Anwendungsdaten\Malwarebytes

2011-04-30 18:19 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-30 18:19 . 2011-04-30 18:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-04-30 18:19 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-04-30 18:19 . 2011-04-30 18:19        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-04-30 16:17 . 2011-04-30 22:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2011-04-30 16:17 . 2011-04-30 22:40        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2011-04-29 19:54 . 2011-04-29 19:54        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien

2011-04-26 18:23 . 2011-04-26 18:23        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

2011-04-24 13:02 . 2011-05-07 16:53        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-09 18:39 . 2006-10-19 01:32        90112        ----a-w-        c:\windows\DUMP71e4.tmp

2011-04-06 18:01 . 2010-06-07 16:14        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-02-27 14:51 . 2009-05-13 17:37        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-05-10 13:31 . 2011-03-25 18:39        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16208384]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]

"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]

"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]

"AspireService"="c:\programme\Acer\Acer eMode Management\AspireService.exe" [2006-07-06 110592]

"MediaSync"="c:\programme\Acer\Acer eConsole\MediaSync.exe" [2006-07-06 425984]

"PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe" [2006-07-03 143360]

"BDMCon"="c:\programme\Softwin\BitDefender10\bdmcon.exe" [2007-04-18 290816]

"BDAgent"="c:\programme\Softwin\BitDefender10\bdagent.exe" [2007-03-29 69632]

"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2006-11-06 26112]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-11-6 45056]

Acer WLAN 11g USB Dongle.lnk - c:\programme\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]

Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

CAPIControl.lnk - c:\programme\Telekom\Eumex 504PC USB\Capictrl.exe [2004-4-28 278528]

Exif Launcher S.lnk - c:\programme\FinePixViewerS\QuickDCF2.exe [2010-2-27 303104]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=

"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"c:\\Programme\\LucasArts\\Star Wars Battlefront\\GameData\\battlefront.exe"=

"c:\\Programme\\FinalMediaPlayer\\FMPCheckForUpdates.exe"=

"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=

"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

.

R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [24.02.2007 19:10 120320]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.06.2010 18:14 136360]

R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\Capi20.sys [05.04.2004 08:57 966352]

R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [19.03.2003 14:36 37696]

R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [28.07.2009 17:07 73528]

S0 depjhonm;depjhonm;c:\windows\system32\drivers\fkvv.sys --> c:\windows\system32\drivers\fkvv.sys [?]

S0 ifrrmmsi;ifrrmmsi;c:\windows\system32\drivers\efony.sys --> c:\windows\system32\drivers\efony.sys [?]

.

--- Andere Dienste/Treiber im Speicher ---

.

*Deregistered* - klmd25

.

Inhalt des "geplante Tasks" Ordners

.

2006-08-15 c:\windows\Tasks\Final Media Player Update Checker.job

- c:\programme\FinalMediaPlayer\FMPCheckForUpdates.exe [2011-01-05 10:25]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

mStart Page = about:blank

uInternet Connection Wizard,ShellNext = hxxp://de.intl.acer.yahoo.com/

uInternet Settings,ProxyServer = proxy.osnanet.de:8080

uInternet Settings,ProxyOverride = 192.168.178.1;fritz.box

uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com

IE: Free YouTube Download - c:\dokumente und einstellungen\Melanie\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Melanie\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Melanie\Anwendungsdaten\Mozilla\Firefox\Profiles\l4ui1q4r.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Notify-WgaLogon - (no file)

AddRemove-7-Zip - c:\programme\7-Zip\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-05-11 15:33

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-245513268-1472349326-2254544294-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(508)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\NTMARTA.DLL

.

Zeit der Fertigstellung: 2011-05-11  15:41:08

ComboFix-quarantined-files.txt  2011-05-11 13:41

.

Vor Suchlauf: 23 Verzeichnis(se), 20.008.984.576 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 20.893.007.872 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 8E93B151DE54C344CEFFC1E273D20ED4

--- --- ---

Zitat:

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Bitdefender Antivirus *Disabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

Bitdefender noch installiert? Prüfen, wenn ja umgehend deinstallieren!

Ansonsten weitermachen:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Seccenter::

AV: Bitdefender Antivirus *Disabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: Bitdefender Firewall *Disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
 

File::

c:\windows\system32\drivers\fkvv.sys

c:\windows\system32\drivers\efony.sys
 

Driver::

depjhonm

ifrrmmsi

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ok, ich habe BitDefender gerade deinstalliert, musste erst 2x neustarten, da es erst Probleme gab.

Immer, wenn ich nach dem Neustart in der Taskleiste auf "Start" geklickt habe, hat sich dies nicht geöffnet. Die Programme auf dem Desktop konnte ich wieterhin öffnen.

Als ich den PC dann runterfahren wollte, kam die Meldung, dass "FMPCheckforUpdate.exe" Probleme macht. Ich habe dann auf "Sofort beenden" geklickt und dann öffnete sich "Start" wieder, aber dann fuhr der PC ja runter. Beim 2. Mal schaute ich in den Task-Manager und konnte dort unter Prozesse dieses Programm auch finden. Aber wieder die gleichen Probleme. Jetzt beim dritten mal klappte es wieder und über Task-Manager konnte ich dieses programm auch nicht mehr finden. Ist weg. :confused:
Irgendwie habe ich das gefühl, dass bei Task-Manager unter Prozesse mehrere Programme aufgeführt sind, die ich irgendwie nicht mehr in Erinnerung habe. :confused:

Da BitDefender jetzt deinstalliert ist, dennoch so weitermachen, wie du es oben beschrieben hast?

Hier dann der nächste Log:

Combofix Logfile:

Code:

ComboFix 11-05-10.02 - Melanie 11.05.2011  17:07:33.2.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.674 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Melanie\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Melanie\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

FILE ::

"c:\windows\system32\drivers\efony.sys"

"c:\windows\system32\drivers\fkvv.sys"

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\proquota.exe . . . fehlt!!

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_depjhonm

-------\Service_ifrrmmsi

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-04-11 bis 2011-05-11  ))))))))))))))))))))))))))))))

.

.

2011-05-11 12:58 . 2011-05-11 12:58        --------        d-----w-        c:\programme\CCleaner

2011-05-10 13:53 . 2011-05-10 13:53        --------        d-----w-        C:\TDSSKiller_Quarantine

2011-05-09 13:19 . 2011-05-09 13:19        --------        d-----w-        C:\_OTL

2011-05-07 16:54 . 2011-05-07 16:54        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PowerCinema

2011-05-07 16:53 . 2011-05-07 16:53        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien

2011-05-07 16:53 . 2011-05-07 16:53        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Startmenü

2011-05-07 16:53 . 2011-05-09 13:19        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Tabdep

2011-04-30 18:19 . 2011-04-30 18:19        --------        d-----w-        c:\dokumente und einstellungen\Melanie\Anwendungsdaten\Malwarebytes

2011-04-30 18:19 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-30 18:19 . 2011-04-30 18:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-04-30 18:19 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-04-30 18:19 . 2011-04-30 18:19        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-04-30 16:17 . 2011-04-30 22:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2011-04-30 16:17 . 2011-04-30 22:40        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2011-04-29 19:54 . 2011-04-29 19:54        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien

2011-04-26 18:23 . 2011-04-26 18:23        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

2011-04-24 13:02 . 2011-05-07 16:53        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-09 18:39 . 2006-10-19 01:32        90112        ----a-w-        c:\windows\DUMP71e4.tmp

2011-04-06 18:01 . 2010-06-07 16:14        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-02-27 14:51 . 2009-05-13 17:37        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-05-10 13:31 . 2011-03-25 18:39        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16208384]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]

"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]

"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]

"AspireService"="c:\programme\Acer\Acer eMode Management\AspireService.exe" [2006-07-06 110592]

"MediaSync"="c:\programme\Acer\Acer eConsole\MediaSync.exe" [2006-07-06 425984]

"PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe" [2006-07-03 143360]

"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2006-11-06 26112]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-11-6 45056]

Acer WLAN 11g USB Dongle.lnk - c:\programme\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]

Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

CAPIControl.lnk - c:\programme\Telekom\Eumex 504PC USB\Capictrl.exe [2004-4-28 278528]

Exif Launcher S.lnk - c:\programme\FinePixViewerS\QuickDCF2.exe [2010-2-27 303104]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=

"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"c:\\Programme\\LucasArts\\Star Wars Battlefront\\GameData\\battlefront.exe"=

"c:\\Programme\\FinalMediaPlayer\\FMPCheckForUpdates.exe"=

"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=

"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

.

R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [24.02.2007 19:10 120320]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.06.2010 18:14 136360]

R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\Capi20.sys [05.04.2004 08:57 966352]

R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [19.03.2003 14:36 37696]

R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [28.07.2009 17:07 73528]

.

Inhalt des "geplante Tasks" Ordners

.

2011-05-11 c:\windows\Tasks\Final Media Player Update Checker.job

- c:\programme\FinalMediaPlayer\FMPCheckForUpdates.exe [2011-01-05 10:25]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

mStart Page = about:blank

uInternet Connection Wizard,ShellNext = hxxp://de.intl.acer.yahoo.com/

uInternet Settings,ProxyServer = proxy.osnanet.de:8080

uInternet Settings,ProxyOverride = 192.168.178.1;fritz.box

uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com

IE: Free YouTube Download - c:\dokumente und einstellungen\Melanie\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Melanie\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Melanie\Anwendungsdaten\Mozilla\Firefox\Profiles\l4ui1q4r.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-05-11 17:18

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-245513268-1472349326-2254544294-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(700)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(2888)

c:\windows\system32\MSNCHATHOOK.DLL

c:\windows\system32\sysenv.dll

c:\windows\system32\CryptoAPI.dll

c:\windows\system32\MFC71U.DLL

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Acer\Acer eConsole\MediaServerService.exe

c:\acer\Empowering Technology\ePerformance\MemCheck.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\program files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

c:\windows\RTHDCPL.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-05-11  17:22:49 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-05-11 15:22

ComboFix2.txt  2011-05-11 13:41

.

Vor Suchlauf: 24 Verzeichnis(se), 20.946.980.864 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 20.851.007.488 Bytes frei

.

- - End Of File - - 12A810F6EC831807568481687048955F

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Tut mir leid, dass ich mich jetzt erst wieder melde. Der Scan mit GMER hat ziemlich lange gedauert.

Heute hatte ich das "Problem", (wie soll ich es beschrieben?) dass, wenn ich eine Datei nur mit der linken Maustauste nur einmal anklickte oder auch mit der rechten, sich erst Acer eDataSecurity Management öffnete und etwas ausführen wollte. Wenn ich dies dann abbrach und die Datei wieder anklickte, war wieder alles normal und Acer eDataSecurity öffnete sich nicht mehr.
Auch als ich das Programm GMER auf dem Desktop nur einmal mit der linken Maustauste angeklickt habe, öffnete es sich sofort.
Jetzt ist aber wieder alles normal.

Hier der Log von GMER:

Code:

GMER 1.0.15.15627 - hxxp://www.gmer.net

Rootkit scan 2011-05-12 18:07:35

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HDT722525DLA380 rev.V44OA96A

Running: qfdsrvj5.exe; Driver: C:\DOKUME~1\Melanie\LOKALE~1\Temp\pgldqpow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7D143DE                                ZwCreateKey

SSDT            F7D143D4                                ZwCreateThread

SSDT            F7D143E3                                ZwDeleteKey

SSDT            F7D143ED                                ZwDeleteValueKey

SSDT            F7D143F2                                ZwLoadKey

SSDT            F7D143C0                                ZwOpenProcess

SSDT            F7D143C5                                ZwOpenThread

SSDT            F7D143FC                                ZwReplaceKey

SSDT            F7D143F7                                ZwRestoreKey

SSDT            F7D143E8                                ZwSetValueKey
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwCallbackReturn + 2FA4    80504810 4 Bytes  [E8, 43, D1, F7]

.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys  section is writeable [0xEE270300, 0x3AE88, 0xE8000020]

.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys  section is writeable [0xF79CC300, 0x1B7E, 0xE8000020]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                  psdfilter.sys (PSD Filter Driver/HiTRUST)

AttachedDevice  \FileSystem\Fastfat \Fat                fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

Von OSAM:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 18:13:52 on 12.05.2011
 

OS: Windows XP Home Edition Service Pack 2 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"Final Media Player Update Checker.job" - "Bitberry Software" - C:\Programme\FinalMediaPlayer\FMPCheckForUpdates.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"PhysX.cpl" - ? - C:\WINDOWS\system32\PhysX.cpl

"prefscpl.cpl" - "RealNetworks, Inc." - C:\WINDOWS\system32\prefscpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ASCTRM" (ASCTRM) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\ASCTRM.sys

"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"bdfdll" (bdfdll) - ? - C:\Programme\Softwin\BitDefender10\bdfdll.sys  (File not found)

"bdpredir" (bdpredir) - ? - C:\Programme\Softwin\BitDefender10\bdpredir.sys  (File not found)

"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"Eumex 504PC USB" (CAPI20) - "DeTeWe Berlin" - C:\WINDOWS\System32\Drivers\CAPI20.SYS

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"int15.sys" (int15.sys) - ? - C:\Acer\Empowering Technology\eRecovery\int15.sys  (File found, but it contains no detailed information)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)

"nsysaudm" (nsysaudm) - ? - C:\DOKUME~1\Melanie\LOKALE~1\Temp\nsysaudm.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"pgldqpow" (pgldqpow) - ? - C:\DOKUME~1\Melanie\LOKALE~1\Temp\pgldqpow.sys  (Hidden registry entry, rootkit activity | File not found)

"PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINDOWS\System32\drivers\Afc.sys

"psdfilter" (psdfilter) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdfilter.sys

"psdvdisk" (psdvdisk) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdvdisk.sys

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"SSHDRV65" (SSHDRV65) - ? - C:\WINDOWS\system32\drivers\SSHDRV65.sys  (File found, but it contains no detailed information)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"Telekom CapiPort" (DETEWECP) - "DeTeWe Berlin" - C:\WINDOWS\System32\drivers\detewecp.sys

"UBHelper" (UBHelper) - ? - C:\WINDOWS\system32\drivers\UBHelper.sys  (File found, but it contains no detailed information)

"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys

"vsdatant" (vsdatant) - ? - C:\WINDOWS\system32\vsdatant.sys  (File not found)

"WAN Miniport (ATW)" (wanatw) - ? - C:\WINDOWS\System32\DRIVERS\wanatw4.sys  (File not found)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

"ZDPSp50 NDIS Protocol Driver" (ZDPSp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\ZDPSp50.sys
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll  (File not found)

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{73B24247-042E-4EF5-ADC2-42F62E6FD654} "MCLiteShellExt Class" - ? - C:\Programme\ICQLite\ICQLiteShell.dll  (File not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll

{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----

{EF99BD32-C1FB-11D2-892F-0090271D4F88} "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

{233C1507-6A77-46A4-9443-F871F945D258} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\swdir.dll / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

{1E54D648-B804-468d-BC78-4AFFED8E262E} "System Requirements Lab Class" - "Husdawg, LLC" - C:\WINDOWS\Downloaded Program Files\sysreqlab_srl.dll / hxxp://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab

{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://go.microsoft.com/fwlink/?linkid=39204

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"ICQ Lite" - ? - C:\Programme\ICQLite\ICQLite.exe  (File not found)

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"Acer Empowering Technology.lnk" - "Acer Inc." - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe  (Shortcut exists | File exists)

"Acer WLAN 11g USB Dongle.lnk" - "X-Micro Technology Corp." - C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe  (Shortcut exists | File exists)

"Adobe Reader Speed Launch.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe  (Shortcut exists | File exists)

"CAPIControl.lnk" - "DeTeWe AG & Co." - C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe  (Shortcut exists | File exists)

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"Exif Launcher S.lnk" - "FUJIFILM Corporation" - C:\Programme\FinePixViewerS\QuickDCF2.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Melanie\Startmenü\Programme\Autostart\desktop.ini

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Acer Empowering Technology Monitor" - " " - C:\WINDOWS\system32\SysMonitor.exe

"AspireService" - "Acer Inc." - C:\Programme\Acer\Acer eMode Management\AspireService.exe

"eDataSecurity Loader" - "HiTRUST" - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0

"eRecoveryService" - "Acer Inc." - C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

"ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

"LaunchApp" - "Acer Inc." - Alaunch

"MediaSync" - "Acer Inc." - C:\Programme\Acer\Acer eConsole\MediaSync.exe

"ntiMUI" - ? - c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe  (File found, but it contains no detailed information)

"PCMService" - "CyberLink Corp." - "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

"RealTray" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

"RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"avm:" - "AVM Berlin GmbH" - C:\WINDOWS\system32\avmprmon.dll

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Acer Media Server" (Acer Media Server) - "Acer Inc." - C:\Programme\Acer\Acer eConsole\MediaServerService.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"AVM IGD CTRL Service" (IGDCTRL) - "AVM Berlin" - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

"CyberLink Background Capture Service (CBCS)" (CLCapSvc) - ? - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

"CyberLink Media Library Service" (CyberLink Media Library Service) - "Cyberlink" - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

"CyberLink Task Scheduler (CTS)" (CLSched) - ? - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

"Memory Check Service" (AcerMemUsageCheckService) - "Acer Inc." - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Und von MBRCheck:

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Home Edition

Windows Information:                Service Pack 2 (build 2600)

Logical Drives Mask:                0x000001fc
 

Kernel Drivers (total 135):

  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

  0x806E4000 \WINDOWS\system32\hal.dll

  0xF7ADC000 \WINDOWS\system32\KDCOM.DLL

  0xF79EC000 \WINDOWS\system32\BOOTVID.dll

  0xF74AC000 ACPI.sys

  0xF7ADE000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xF749B000 pci.sys

  0xF75DC000 isapnp.sys

  0xF75EC000 ohci1394.sys

  0xF75FC000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

  0xF7BA4000 pciide.sys

  0xF785C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xF760C000 MountMgr.sys

  0xF747C000 ftdisk.sys

  0xF7864000 PartMgr.sys

  0xF79F0000 UBHelper.sys

  0xF761C000 VolSnap.sys

  0xF7464000 atapi.sys

  0xF762C000 disk.sys

  0xF763C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xF7444000 fltMgr.sys

  0xF7432000 sr.sys

  0xF764C000 PxHelp20.sys

  0xF741B000 KSecDD.sys

  0xF738E000 Ntfs.sys

  0xF7361000 NDIS.sys

  0xF7346000 Mup.sys

  0xF76BC000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xF5164000 \SystemRoot\system32\DRIVERS\ati2mtag.sys

  0xF5150000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xF78AC000 \SystemRoot\system32\DRIVERS\usbohci.sys

  0xF512D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xF78B4000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xF76CC000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xF78BC000 \SystemRoot\system32\drivers\Afc.sys

  0xF76DC000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xF76EC000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xF510A000 \SystemRoot\system32\DRIVERS\ks.sys

  0xF7AE4000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys

  0xF50E5000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xF78DC000 \SystemRoot\system32\DRIVERS\fdc.sys

  0xF50D1000 \SystemRoot\system32\DRIVERS\parport.sys

  0xF78EC000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xF78F4000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xF50C0000 \SystemRoot\system32\DRIVERS\serial.sys

  0xF7A8C000 \SystemRoot\system32\DRIVERS\serenum.sys

  0xF7AE8000 \SystemRoot\System32\Drivers\RootMdm.sys

  0xF7904000 \SystemRoot\System32\Drivers\Modem.SYS

  0xF7C9F000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xF770C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xF7A94000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xF50A9000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xF771C000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xF772C000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xF7924000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xF4FF8000 \SystemRoot\system32\DRIVERS\psched.sys

  0xF773C000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xF7934000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xF7944000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xF774C000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xF7AEE000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xF4F9F000 \SystemRoot\system32\DRIVERS\update.sys

  0xF7AA8000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xF777C000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xF778C000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xF7AF4000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xF0B19000 \SystemRoot\system32\drivers\RtkHDAud.sys

  0xF0AF7000 \SystemRoot\system32\drivers\portcls.sys

  0xF779C000 \SystemRoot\system32\drivers\drmk.sys

  0xF0A85000 \??\C:\WINDOWS\system32\drivers\SSHDRV65.sys

  0xF7AFC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xF7CE7000 \SystemRoot\System32\Drivers\Null.SYS

  0xF7B00000 \SystemRoot\System32\Drivers\Beep.SYS

  0xF7974000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xF797C000 \SystemRoot\System32\drivers\vga.sys

  0xF7B04000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF7B08000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xF798C000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xF799C000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xF7AA4000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xF0A52000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xF09FA000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xF09D9000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xF77BC000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xF0911000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xF0F67000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xF77CC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xF08C7000 \SystemRoot\System32\drivers\afd.sys

  0xF77EC000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xF79B4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0xF089C000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xF082D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xF77FC000 \SystemRoot\System32\Drivers\Fips.SYS

  0xF0807000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0xF79D4000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xF7B12000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys

  0xF07E4000 \SystemRoot\System32\Drivers\Fastfat.SYS

  0xF7874000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

  0xF0ADB000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0xF0AD7000 \SystemRoot\system32\DRIVERS\kbdhid.sys

  0xF07A4000 \SystemRoot\System32\Drivers\dump_atapi.sys

  0xF7B1A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xF0ABF000 \SystemRoot\System32\drivers\Dxapi.sys

  0xF78CC000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xF7C57000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF012000 \SystemRoot\System32\ati2dvag.dll

  0xBF055000 \SystemRoot\System32\ati2cqag.dll

  0xBF09B000 \SystemRoot\System32\atikvmag.dll

  0xBF0DD000 \SystemRoot\System32\ati3duag.dll

  0xBF379000 \SystemRoot\System32\ativvaxx.dll

  0xEE677000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL

  0xEE66F000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0xEE353000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xEE4FF000 \SystemRoot\System32\drivers\detewecp.sys

  0xF7AFE000 \SystemRoot\System32\Drivers\ASCTRM.SYS

  0xEE270000 \SystemRoot\system32\DRIVERS\atksgt.sys

  0xEE0F9000 \SystemRoot\System32\Drivers\CAPI20.SYS

  0xEE0BC000 \SystemRoot\system32\drivers\wdmaud.sys

  0xEE5A7000 \SystemRoot\system32\drivers\sysaudio.sys

  0xEDD45000 \SystemRoot\system32\DRIVERS\srv.sys

  0xF79CC000 \SystemRoot\system32\DRIVERS\lirsgt.sys

  0xEE230000 \SystemRoot\system32\DRIVERS\secdrv.sys

  0xEDCB5000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xED584000 \SystemRoot\System32\Drivers\HTTP.sys

  0xF791C000 \SystemRoot\System32\Drivers\ZDPSp50.sys

  0xED523000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys

  0xF7994000 \??\C:\WINDOWS\system32\Drivers\psdfilter.sys

  0xED4C0000 \??\C:\WINDOWS\system32\Drivers\psdvdisk.sys

  0xED3B4000 \??\C:\DOKUME~1\Melanie\LOKALE~1\Temp\pgldqpow.sys

  0xED378000 \SystemRoot\system32\DRIVERS\yk51x86.sys

  0xED2AC000 \SystemRoot\system32\drivers\kmixer.sys

  0x7C910000 \WINDOWS\system32\ntdll.dll
 

Processes (total 50):

       0 System Idle Process

       4 System

     424 C:\WINDOWS\system32\smss.exe

     480 csrss.exe

     508 C:\WINDOWS\system32\winlogon.exe

     552 C:\WINDOWS\system32\services.exe

     564 C:\WINDOWS\system32\lsass.exe

     740 C:\WINDOWS\system32\ati2evxx.exe

     772 C:\WINDOWS\system32\svchost.exe

     860 svchost.exe

     920 C:\WINDOWS\system32\svchost.exe

     976 svchost.exe

    1000 C:\WINDOWS\system32\ati2evxx.exe

    1064 svchost.exe

    1188 C:\WINDOWS\system32\spoolsv.exe

    1228 C:\Programme\Avira\AntiVir Desktop\sched.exe

    1268 svchost.exe

    1324 C:\Programme\Acer\Acer eConsole\MediaServerService.exe

    1356 C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

    1432 C:\Programme\Avira\AntiVir Desktop\avguard.exe

    1484 C:\Programme\Avira\AntiVir Desktop\avshadow.exe

    1492 C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

    1512 C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

    1576 C:\Programme\FRITZ!DSL\IGDCTRL.EXE

    1708 C:\WINDOWS\explorer.exe

    1796 C:\Programme\Java\jre6\bin\jqs.exe

    1928 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

    2008 C:\WINDOWS\system32\svchost.exe

    2044 C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

    2100 C:\WINDOWS\RTHDCPL.exe

    2140 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

    2232 C:\Programme\QuickTime\QTTask.exe

    2248 C:\WINDOWS\system32\SysMonitor.exe

    2260 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

    2276 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

    2288 C:\Programme\Acer\Acer eMode Management\AspireService.exe

    2296 C:\Programme\Acer\Acer eConsole\MediaSync.exe

    2312 C:\Program Files\CyberLink\PowerCinema\PCMService.exe

    2320 C:\Programme\Real\RealPlayer\realplay.exe

    2356 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

    2376 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

    2456 C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe

    2488 C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe

    2568 C:\Programme\FinePixViewerS\QuickDCF2.exe

    3268 alg.exe

    3564 C:\WINDOWS\system32\wuauclt.exe

    1280 C:\WINDOWS\system32\msiexec.exe

    4060 C:\WINDOWS\system32\svchost.exe

    3860 C:\Programme\Mozilla Firefox\firefox.exe

     340 C:\Dokumente und Einstellungen\Melanie\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`a8bb7e00  (FAT32)
 

PhysicalDrive0 Model Number: HDT722525DLA380, Rev: V44OA96A
 

      Size  Device Name          MBR Status

  --------------------------------------------

    232 GB  \\.\PhysicalDrive0   Unknown MBR code

            SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
 
 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Wir sollten den MBR reparieren. Sichere für den Fall der Fälle jetzt alle wichtigen Daten.

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRcheck und GMER nochmals aus und poste das neue Log.

Ok, dann werde ich erst mal ein paar Daten sichern. WinXP ist auch das einzige Betriebssystem auf meinem PC.

Kann ich denn gefahrlos eine externe Festplatte anschließen oder würde der Virus auch direkt auf die externe Festplatte übergehen?

Oder lieber DVD/CD-Rohlinge verwenden? Es könnte allerdings eine Weile dauern. Mein Ordner "Eigene Dateien" ist wg. der Uni ziemlich groß.

Nimm ruhig eine externe Festplatte. Wenn du ganz viel Bammel hast sicherst du über Ubuntu :D siehe 2. Link in meiner Signatur

Ja, ich habe ganz viel Bammel. :D
Ich werde daher noch über Ubuntu absichern. Das könnte aber ein wenig dauern, da ich erst jemanden finden muss, der mir das Programm auf eine CD speichert, da ich keinen zweiten PC habe.

Ich werde mich dann wieder melden, wenn ich alles gesichert habe und deinen weiteren Anweisungen gefolgt bin.

Zwischendurch mal wieder ein großes :dankeschoen: dafür, dass du mir hilfst und meine "dummen" Fragen immer beantwortest. :)

Sorry, da muss ich dich doch noch mal kurz nerven:

wie "schlimm" sieht es denn eigentlich mit meinem PC aus?
Wie schon gesagt, mache ich ansonsten auch Online-Banking, zwar Anfang April das letzte mal, als es noch keine Probleme gab, aber man kann ja nie wissen. :)

Ich mache mir nur immer noch Sorgen, da ja auch Trojan.Banker und Trojan.spyeyes bei mir gefunden wurden und auch dieser TDSS Rootkit, wenn ich das richtig verstanden habe.

Es wäre sehr nett, wenn du mir kurz einen Lagebericht geben könntest :D, was sich denn da alles bei mir eingenistet hat.