Trojaner-Board - AnitVirenSoftware hat "Worm/Bot.21504" gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AnitVirenSoftware hat "Worm/Bot.21504" gefunden (https://www.trojaner-board.de/102816-anitvirensoftware-hat-worm-bot-21504-gefunden.html)

Zitat:

c:\dokumente und einstellungen\GE\Lokale Einstellungen\Anwendungsdaten\updater4g
c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\XSManager

c:\windows\updater4g.exe
c:\windows\starter4g.exe
c:\windows\service4g.exe

XSManager? Updater4g? Sagt dir das was?

Ja, das müssen die Softwareteile sein, die sich automatisch installiert haben, als ich einen Debitel-Mobilfunkstick angeschlossen habe. XSManager ist das kleine Einwahlprogramm vom Stick.

Edit: Feierabend für heut'. Ich schau heut' Abend von Zuhaus nochma rein. Vielen Dank bis zu diesem Punkt. CU

MfG
Icy

Zitat:

Windows 5.1.2600 Service Pack 2 NTFS

Warum eigentlich nur SP2? :balla:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

Dirlook::

c:\dokumente und einstellungen\GE\Lokale Einstellungen\Anwendungsdaten\updater4g

c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\XSManager
 

Filelook::

c:\windows\updater4g.exe

c:\windows\starter4g.exe

c:\windows\service4g.exe
 

Registry::

[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3197:TCP"=-
 

Folder::

c:\programme\AskBarDis
 

Driver::

btyxuqfev
 

NetSvc::

btyxuqfev

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Guten Morgen,

Danke erstmal dass du dir die Mühe machst, die zu Unrecht von ComboFix entfernten Teile wieder "rein zu scripten". Kannst du mir das Script bitte ganz kurz erläutern, speziell die Registry-Einträge? Warum wird da zB. der Firewall aktiviert (hat ich immer nur temporär beim Ausführen der verschiedenen Tools aus)?

Zitat:

Zitat von cosinus

Warum eigentlich nur SP2? :balla:

Das ist eine lange und komplizierte Geschichte. Alles hat seinen Ursprung dort, wo ein langjähriger EDV-Hauptverantwortlicher eine persönliche Abneigung gegen Windowsupdates hatte. Es spielen aber noch ganz viele Interna mehr eine Rolle, warum dieser PC bis heute nicht auf den neuesten Stand gebracht wurde... Ich heiße das auch nicht gut!

MfG
Icy

Abschnitt Dirlook und Filelook löschen nichts, Registry löscht entsprechende Schlüssel bzw. nur die Values. [-HKLM\...] löscht einen Schlüssel, ohne das Minus aber ein Value darunter mit ...=- löscht den Wert. Solltest du eigentlich aus einem Regfile kennen.

Der Wert "EnableFirewall" ist bei dir auf Null - bedeutet Windows-Firewall ist aus, und das sollte nicht sein.

Zitat:

"3197:TCP"=-

Warum Port 3197/tcp erlaubt sein soll weiß ich nicht, kann vom Schädling sein, daher wird dieses Loch in der Firewall wieder dichtgemacht. => Port 3197/tcp embrace-dp-s Protocol and Security Information | What is port 3197/tcp?

Zitat:

Known Port 3197/tcp exploits: Yes
Known Port 3197/tcp Security Risks: Yes

Zitat:

wo ein langjähriger EDV-Hauptverantwortlicher eine persönliche Abneigung gegen Windowsupdates hatte

Hmja, es gibt wirklich Menschen, die Windowsupdates für fiese Tricks von MS halten, um die Rechner zu beschnüffeln und/oder den ping zu verschlechtern :lach:

Hallo cosi,

Zitat:

Zitat von cosinus

[...] Registry löscht entsprechende Schlüssel bzw. nur die Values. [-HKLM\...] löscht einen Schlüssel, ohne das Minus aber ein Value darunter mit ...=- löscht den Wert. Solltest du eigentlich aus einem Regfile kennen.

Nein, kannte ich so noch nicht. Wie ich Eingangs schrieb, arbeite ich als Mitarbeiter in der EDV - das ist aber nur ein Teil meiner beruflichen Tätigkeit. Hauptsächlich bin ich Softwareentwickler (Mikrocontroller in C / Windows-Apps mit C++ und VCL) mit elektrotechnischem Hintergrund. Beim Erstellen von Setups mit InnoSetup und im Rahmen meiner EDV-Mitarbeit bin ich schon hin und wieder mit der Reg in Berührung gekommen, aber in ein Regfile rein schauen oder selbst eins per Hand erstellen habe ich noch nicht müssen.
Man könnte sich jetzt fragen, warum ein Entwickler in der EDV-Abteilung mitmacht... Frag' lieber nicht. ;)

Zitat:

Zitat von cosinus

Der Wert "EnableFirewall" ist bei dir auf Null - bedeutet Windows-Firewall ist aus, und das sollte nicht sein.

Deswegen schrieb ich doch in meinem letzten Beitrag:

Zitat:

[Den Firewall] hat ich immer nur temporär beim Ausführen der verschiedenen Tools aus

Nun ist der natürlich wieder an! Oder betrifft der Regwert ein anderes Benutzerkonto / eine Grundeinstellung?
Versteh' mich bitte nicht falsch - auch hier möchte ich wieder nicht mit dir diskutieren, sondern einfach Hinterfragen. :)

Bezüglich Firewall: Wenn empfohlen wird einen Firewall zu deaktivieren (wie auch in meinem Thread schon für etliche Tools), ist dann NICHT der Windows-Firewall gemeint???

Zitat:

Zitat von cosinus

Zitat:

Known Port 3197/tcp exploits: Yes
Known Port 3197/tcp Security Risks: Yes

Gut, ich werd' ja merken wenn irgendeine App später so da steht: :headbang:
:lach:

Noch eine Frage zum CF-Script: Diese "Foxit Toolbar"-Sachen (was als "AskBar..." in den Logs auftaucht), warum entfernen wir die?

Zitat:

Zitat von cosinus

Hmja, es gibt wirklich Menschen, die Windowsupdates für fiese Tricks von MS halten, um die Rechner zu beschnüffeln und/oder den ping zu verschlechtern :lach:

Sicherlich ist nicht Alles wirklich dufte was so an "Updates" gebracht wurde, aber generell keine OS-Updates zu machen halte ich für fahrlässig!

MfG
Icy

Zitat:

Nein, kannte ich so noch nicht.

Ok, ich dachte du bist da auch ein Admin :D deswegen wunderte ich mich ein wenig, dass dir das unbekannt ist.

Zitat:

[Den Firewall] hat ich immer nur temporär beim Ausführen der verschiedenen Tools aus

Ähm ok, überlesen, :o aber die Windows-Firewall sollte bei CF nicht wirklich stören. In der CF-Anleitung geht es primäre darumm, dass man sowas wie ZoneAlarm (:balla:) deaktivieren sollte.

Zitat:

Nun ist der natürlich wieder an! Oder betrifft der Regwert ein anderes Benutzerkonto / eine Grundeinstellung?

Der Regwert sollte - wenn ich das richtig gelernt hab :D - für den aktuellen Status stehen. 0=inaktiv, 1=aktiv

Zitat:

Bezüglich Firewall: Wenn empfohlen wird einen Firewall zu deaktivieren (wie auch in meinem Thread schon für etliche Tools), ist dann NICHT der Windows-Firewall gemeint???

Nein, wenn wir eine Firewall (eigentlich korrekt: Paketfilter) meinen, die auf dem System selbst läuft, dann rate ich grundsätzlich von sowas ab, was sich ZoneAlarm, Kerio etc. schimpft oder solche, die in SecuritySuites/Internet Securities stecken. Link dazu warum => Editorial | c't
Nimm also wenn überhaupt die Windows-Firewall. Rein theroretisch kann man aber hinter einem Router auch ohne Windows-Firewall auskommen.

Zitat:

Noch eine Frage zum CF-Script: Diese "Foxit Toolbar"-Sachen (was als "AskBar..." in den Logs auftaucht), warum entfernen wir die?

Stehst du auf müllige System-/Browserfensterverstopfer? :balla: Oftmals lassen sich diese Zecken nichtmal mehr richtig deinstallieren, deswegen ist es schon fast bei mir in Fleisch und Blut übergegangen, die mit OTL oder CF wegzuscripten ;)

Zitat:

Sicherlich ist nicht Alles wirklich dufte was so an "Updates" gebracht wurde, aber generell keine OS-Updates zu machen halte ich für fahrlässig!

Das stimmt, aber ich hatte noch nie Probleme mit Windows-Updates. Bin nur vorsichtlich bei Servern, weil die üblicherweise sehr stabil laufen müssen, da mach ich immer erst ne Komplettsicherung bevor ich sowas wie ein ServicePack einspiele.

Nun ja, ich bin - wenn man so will - ein Halbtagsadmin mit eingeschränkten Rechten und keiner passenden Ausbildung in einem Unternehmen in dem EDV nach täglichem Bedarf gestaltet wird und Weiterbildung ausschliesslich Privatsache ist. Man könnte es auch ungepflegte Patchwork-IT-Infrastruktur nennen. Hauptsache es kostet Nichts, dann kann Alles gemacht werden. Es gibt hier Kollegen, die noch mit Windows98 inklusive passender Hardware arbeiten müssen. Ein PC wird nur ersetzt, wenn der Alte ABSOLUT nicht mehr an seinem Einsatzort verwendbar ist. Ach ich heule schon wieder rum... :pfui:

Wg. FireWall-Status: Das dieser besagte Firewall-RegWert für den Status steht war mir bekannt, deswegen hab' ich ja nach gefragt. Ich nehm' die Zeile raus.

Wg. FireWall deaktivieren: Der WinWall kann an bleiben... und ich hab' immer schön penibel Aus- und wieder Eingeschaltet... :headbang:
:rofl:

Und nein, ich stehe nicht auf müllige System-/Browserfensterverstopfer (geiler Ausdruck :daumenhoc). Hat halt irgendein Mitarbeiter im Laufe der letzten Jahre mal installiert das Ding. Der PC hat ohne ein neues/frisches OS zu bekommen hier schon verschiedene Abteilungen durchlaufen... :balla:

Zu den Windows-Updates: Kommt halt drauf an, was man als Problem ansieht und wie sehr man auf Mundpropaganda hört. Ich kann mich an eine Zeit erinnern, da waren die Updates überall verpöhnt. Gespräche zwischen PC-Laien und -Halbprofis zu dem Thema liefen so ab:

A: Machst du regelmäßig Windows-Updates?
B: Spinnst du? Ich will mir doch meinen PC nicht kaputt machen!

So, nun starte ich mal das Script und poste das Logfile!

CFScript ist durch - hier das Logfile:

[CODE]
Combofix Logfile:Combofix Logfile:

Code:

ComboFix 11-08-29.01 - GE 30.08.2011  15:07:29.2.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.959.404 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\GE\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\GE\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Updated* {B02B524A-0C22-45DD-A6D1-70C7010CE58E}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programme\AskBarDis

c:\programme\AskBarDis\bar\bin\askBar.dll

c:\programme\AskBarDis\bar\bin\askPopStp.dll

c:\programme\AskBarDis\bar\bin\psvince.dll

c:\programme\AskBarDis\bar\Cache\00055D69

c:\programme\AskBarDis\bar\Cache\001147C4

c:\programme\AskBarDis\bar\Cache\00376E10

c:\programme\AskBarDis\bar\Cache\00377803.bin

c:\programme\AskBarDis\bar\Cache\00377A74.bin

c:\programme\AskBarDis\bar\Cache\00377D23.bin

c:\programme\AskBarDis\bar\Cache\003780CD.bin

c:\programme\AskBarDis\bar\Cache\00378282.bin

c:\programme\AskBarDis\bar\Cache\003783DA.bin

c:\programme\AskBarDis\bar\Cache\00378512.bin

c:\programme\AskBarDis\bar\Cache\0037865B.bin

c:\programme\AskBarDis\bar\Cache\00378793.bin

c:\programme\AskBarDis\bar\Cache\003789C6.bin

c:\programme\AskBarDis\bar\Cache\files.ini

c:\programme\AskBarDis\bar\History\search

c:\programme\AskBarDis\bar\Settings\config.dat

c:\programme\AskBarDis\bar\Settings\config.dat.bak

c:\programme\AskBarDis\bar\Settings\prevcfg.htm

c:\programme\AskBarDis\PopSwatter\History\allowed

c:\programme\AskBarDis\PopSwatter\History\notallow

c:\programme\AskBarDis\unins000.dat

c:\programme\AskBarDis\unins000.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_BTYXUQFEV

-------\Service_btyxuqfev

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-07-28 bis 2011-08-30  ))))))))))))))))))))))))))))))

.

.

2011-08-29 10:15 . 2011-08-29 10:15        --------        d-----w-        C:\_OTL

2011-08-29 06:00 . 2011-08-29 06:00        --------        d-----w-        c:\programme\ESET

2011-08-29 05:47 . 2011-08-29 05:47        16856        ----a-w-        c:\programme\Mozilla Firefox\plugin-container.exe

2011-08-29 05:47 . 2011-08-29 05:47        719832        ----a-w-        c:\programme\Mozilla Firefox\mozcpp19.dll

2011-08-29 05:30 . 2011-08-29 05:30        --------        d-----w-        c:\dokumente und einstellungen\GE\Lokale Einstellungen\Anwendungsdaten\updater4g

2011-08-29 05:29 . 2011-08-29 05:30        --------        d-----w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager

2011-08-29 05:29 . 2010-03-19 15:15        313104        ----a-r-        c:\windows\updater4g.exe

2011-08-29 05:29 . 2010-03-19 15:14        161040        ----a-r-        c:\windows\starter4g.exe

2011-08-29 05:29 . 2010-03-19 15:13        145680        ----a-r-        c:\windows\service4g.exe

2011-08-29 05:29 . 2011-08-29 05:29        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\XSManager

2011-08-29 05:28 . 2008-10-31 14:19        103424        ----a-w-        c:\windows\system32\drivers\cmnsusbser.sys

2011-08-29 05:28 . 2011-08-29 05:28        --------        d-----w-        c:\programme\XSManager

2011-08-26 13:18 . 2011-08-26 13:18        --------        d-----w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\Malwarebytes

2011-08-26 12:36 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-26 12:36 . 2011-08-26 12:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-08-26 12:36 . 2011-08-26 14:22        --------        d-----w-        c:\programme\MalwarebytesAM

2011-08-26 12:36 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-08-23 13:02 . 2011-08-26 13:03        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2011-08-17 05:59 . 2011-08-17 05:59        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-08-24 06:46 . 2010-04-06 09:19        66616        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-08-24 06:46 . 2010-04-06 09:19        138192        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-08-24 06:46 . 2010-04-06 09:19        82952        ----a-w-        c:\windows\system32\drivers\avfwim.sys

2011-08-24 06:46 . 2010-04-06 09:19        106904        ----a-w-        c:\windows\system32\drivers\avfwot.sys

.

.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

--- c:\windows\service4g.exe ---

Company: 4G Systems GmbH & Co. KG

File Description: Control Service

File Version: 2.3.2.4

Product Name: 

Copyright: (c) 4G Systems GmbH &Co. KG. All rights reserved.

Original Filename: 

File size: 145680

Created time: 2011-08-29 05:29

Modified time: 2010-03-19 15:13

MD5: 1EA18D9ADA8FE282D7B5822F1BD05E8F

SHA1: 75D94B73A44B91B964E842521468ABF98C056990

.

.

--- c:\windows\starter4g.exe ---

Company: 4G Systems GmbH & Co. KG

File Description: XSManager launcher

File Version: 2.3.2.4

Product Name: 

Copyright: (c) 4G Systems GmbH & Co. KG. All rights reserved.

Original Filename: 

File size: 161040

Created time: 2011-08-29 05:29

Modified time: 2010-03-19 15:14

MD5: 672638C5D3FB989ADC6159EC3B3C7438

SHA1: FD48B3B9408CC974387BC712405C38D2476A47FF

.

.

--- c:\windows\updater4g.exe ---

Company: 4G Systems GmbH & Co. KG

File Description: Update Service

File Version: 2.3.2.4

Product Name: 

Copyright: (c) 4G Systems GmbH &Co. KG. All rights reserved.

Original Filename: 

File size: 313104

Created time: 2011-08-29 05:29

Modified time: 2010-03-19 15:15

MD5: 8F09359026ECF641E18F3AA773BE77B9

SHA1: 176540D74DB80D3FC85345F9090088786DD2F35E

.

---- Directory of c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager ----

.

2011-08-29 07:36 . 2011-08-29 12:30        112        ----a-w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager\mobile.trf

2011-08-29 05:30 . 2011-08-29 12:34        0        ----a-w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager\Upgrades\list.txt

2011-08-29 05:30 . 2011-08-29 12:57        8        ----a-w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager\WTGSMS.dat

2011-08-29 05:29 . 2011-08-29 05:29        2188        ----a-w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager\wtgoverride.wdb

2011-08-29 05:29 . 2011-08-29 13:32        5608        ----a-w-        c:\dokumente und einstellungen\GE\Anwendungsdaten\XSManager\WTGAddresses.dat

.

---- Directory of c:\dokumente und einstellungen\GE\Lokale Einstellungen\Anwendungsdaten\updater4g ----

.

.

---- Directory of c:\dokumente und einstellungen\LocalService\Anwendungsdaten\XSManager ----

.

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2006-01-12 . 09948E79FB7E232EA8DA7B6E14550589 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-05 68856]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]

"nwiz"="nwiz.exe" [2005-10-10 1519616]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]

"Malwarebytes' Anti-Malware"="c:\programme\MalwarebytesAM\mbamgui.exe" [2011-07-06 449584]

"starter4g"="c:\windows\starter4g.exe" [2010-03-19 161040]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\AutorunsDisabled

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KEN Taskbar Client]

2003-11-20 01:00        106496        ----a-w-        c:\programme\KEN!\kentbcli.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2005-10-10 13:49        86016        ----a-w-        c:\windows\system32\nvmctray.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

2005-09-22 08:42        90112        ------r-        c:\windows\soundman.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2007-07-05 06:57        68856        ----a-w-        c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Hummingbird\\Connectivity\\7.11\\Exceed\\exceed.exe"=

"c:\\Programme\\KEN!\\kentbcli.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"c:\\Programme\\Borland\\BDS\\4.0\\RaveReports\\Rave.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"139:TCP"= 139:TCP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22004

"445:TCP"= 445:TCP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22005

"137:UDP"= 137:UDP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22001

"138:UDP"= 138:UDP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22002

.

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [06.04.2010 11:19 340136]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.04.2010 11:19 136360]

R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [06.04.2010 11:19 428200]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_1_5\bin\fbguard.exe -s --> c:\programme\Firebird\Firebird_1_5\bin\fbguard.exe -s [?]

R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [17.03.2006 08:32 49204]

R2 MBAMService;MBAMService;c:\programme\MalwarebytesAM\mbamservice.exe [26.08.2011 14:36 366640]

R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [17.03.2006 08:32 57664]

R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [29.08.2011 07:28 304592]

R2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [29.08.2011 07:29 145680]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_1_5\bin\fbserver.exe -s --> c:\programme\Firebird\Firebird_1_5\bin\fbserver.exe -s [?]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [26.08.2011 14:36 22712]

S3 APL531;OVT Scanner;c:\windows\system32\Drivers\ov550i.sys --> c:\windows\system32\Drivers\ov550i.sys [?]

S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\drivers\cmnsusbser.sys [29.08.2011 07:28 103424]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyServer = ftp=172.16.10.18:3128;http=172.16.10.18:3128;https=172.16.10.18:3128;socks=172.16.10.18:1080

uInternet Settings,ProxyOverride = localhost

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll

TCP: Interfaces\{1E7AAA65-8F0C-4DF1-8194-08DCE847C535}: NameServer = 172.16.10.23

FF - ProfilePath - c:\dokumente und einstellungen\GE\Anwendungsdaten\Mozilla\Firefox\Profiles\2qi6siok.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Ask Toolbar_is1 - c:\programme\AskBarDis\unins000.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-08-30 15:17

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'lsass.exe'(560)

c:\programme\Avira\AntiVir Desktop\avsda.dll

.

- - - - - - - > 'explorer.exe'(2432)

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\programme\Hummingbird\Connectivity\7.11\HostExplorer\Ftp\heshell.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Firebird\Firebird_1_5\bin\fbguard.exe

c:\windows\system32\nvsvc32.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\wscntfy.exe

c:\programme\Firebird\Firebird_1_5\bin\fbserver.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-08-30  15:20:40 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-08-30 13:20

ComboFix2.txt  2011-08-29 13:04

.

Vor Suchlauf: 25 Verzeichnis(se), 26.851.856.384 Bytes frei

Nach Suchlauf: 26 Verzeichnis(se), 26.838.818.816 Bytes frei

.

- - End Of File - - CCEDBE744BA12D86D984E4BA848A3C45

--- --- ---

Icy

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Wird gemacht. Alle 3 Tools gleich nacheinander, jeweils mit Neustart und dann posten? Oder Nach Gmer und OSAM erstmal die Logfiles posten und abwarten?

Edit: Probieren wir hier eigentlich die ganze Trojaner-Board-Toolbox durch oder wie? :D

Ob mit oder ohne Neustart ist eiegtnlich rel. egal
Und ja, wir müssen mit leider vielen Tools drauf losgehen, mach ich immer, man muss ja auch vieles abklopfen...

Gut, morgen gehts weiter. Hab' vergessen den Gmer-Logtext in die Textdatei ein zu fügen und den WurmPC runter gefahren... :headbang:

Guten Tag,

ich bin mit dem Gmer-Scan durch. Alle Schutzprogramme und Internetverbindung waren aus, WinWall war an, 1 USB-Datenstick war angeschlossen. Nun folgt der OSAM-Scan. Hier das Gmer-Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2011-08-31 11:52:24

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_6K040L0 rev.NAR61HA0

Running: zjqedoxt.exe; Driver: C:\DOKUME~1\GE\LOKALE~1\Temp\pwrdypow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7BC61A4                                  ZwClose

SSDT            F7BC615E                                  ZwCreateKey

SSDT            F7BC61AE                                  ZwCreateSection

SSDT            F7BC6154                                  ZwCreateThread

SSDT            F7BC6163                                  ZwDeleteKey

SSDT            F7BC616D                                  ZwDeleteValueKey

SSDT            F7BC619F                                  ZwDuplicateObject

SSDT            F7BC6172                                  ZwLoadKey

SSDT            F7BC6140                                  ZwOpenProcess

SSDT            F7BC6145                                  ZwOpenThread

SSDT            F7BC617C                                  ZwReplaceKey

SSDT            F7BC6177                                  ZwRestoreKey

SSDT            F7BC61B3                                  ZwSetContextThread

SSDT            F7BC6168                                  ZwSetValueKey

SSDT            F7BC614F                                  ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF6B17360, 0x20469D, 0xE8000020]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \FileSystem\Cdfs \Cdfs                    BA2C9400
 

---- EOF - GMER 1.0.15 ----

Ich habe aktuell noch eine weitere Frage den WurmPC betreffend: Ich habe heut' morgen erstmal defragmentiert, damit die Kiste schneller startet und evtl auch schneller scannt. Dabei kam mir eine Log-Datei unter die Lupe, welche sich einfach nicht defragmentieren lässt. Diese Textdatei ist ca. 16MB groß und besteht aus über 1700 Fragmenten(!). :eek: Ich wollte die Datei auf einen USB-Stick kopieren und dann wieder zurück auf die Platte, aber ich bekam eine Meldung in der Art "Kann nicht kopiert werden - CRC-Prüfsummenfehler". Pfad und Name der Datei sind "C:\Dokumente und Einstellungen\GE\Anwendungsdaten\Haufe\Installer_log\iDesk_log.txt".
Gibt es dazu Hinweise? Muss ich von einem Festplattendefekt ausgehen? Können die Ursachen woanders liegen?

Edit (12:53 Uhr): Womit wir dann beim OSAM-Logfile wären:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 12:48:15 on 31.08.2011
 

OS: Windows XP Home Edition Service Pack 2 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)

"bdeadmin.cpl" - ? - C:\WINDOWS\system32\bdeadmin.cpl

"Firebird2Control.cpl" - "IBPhoenix" - C:\WINDOWS\system32\Firebird2Control.cpl

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl

"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl

"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Professional" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"AVM KEN CAPI" (ndc) - "AVM Berlin" - C:\WINDOWS\System32\Drivers\ndc.sys

"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"Huawei DataCard USB Modem and USB Serial" (hwdatacard) - ? - C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys

"OVT Scanner" (APL531) - ? - C:\WINDOWS\System32\Drivers\ov550i.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINDOWS\System32\drivers\Afc.sys

"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - ? - C:\Programme\Common\Microsoft Shared\Web Folders\msonsext.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - ? - C:\PROGRA~1\Common\MICROS~1\WEBCOM~1\10\OWC10.DLL  (File not found)

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - ? - C:\Programme\Common\Microsoft Shared\Help\hxds.dll  (File not found)

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - ? - C:\Programme\Common\Microsoft Shared\Information Retrieval\msitss.dll  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler )-----

{438755C2-A8BA-11D1-B96B-00A0C90312E1} "Browseui preloader" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{8C7461EF-2B13-11d2-BE35-3078302C2030} "Component Categories cache daemon" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{01E04581-4EEE-11d0-BFE9-00AA005B4383} "&Adresse" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{7e653215-fa25-46bd-a339-34a2790f3cb7} "Accessible" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{A08C11D2-A228-11d0-825B-00AA005B4383} "Address EditBox" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{91EA3F8B-C99B-11d0-9815-00C04FD91972} "Augmented Shell Folder" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{6413BA2C-B461-11d1-A18A-080036B11A03} "Augmented Shell Folder 2" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{F61FFEC1-754F-11d0-80CA-00AA005B4383} "BandProxy" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A} "Custom MRU AutoCompleted List" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{22BF0C20-6DA7-11D0-B373-00A0C9034938} "Download Status" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11} "Global Folder Settings" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{DB8DC413-C0AA-11D0-9545-080009B1C2F3} "Hummingbird Neighborhood" - "Hummingbird Ltd." - C:\Programme\Hummingbird\Connectivity\7.11\HostExplorer\Ftp\heshell.dll

{3028902F-6374-48b2-8DC6-9725E775B926} "IE Microsoft AutoComplete" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{30D02401-6A81-11d0-8274-00C04FD5AE38} "IE Search Band" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{169A0691-8DF9-11d1-A1C4-00C04FD75D13} "In-pane search" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{7BA4C742-9E81-11CF-99D3-00AA004AE837} "Microsoft BrowserBand" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{00BB2764-6A77-11D0-A535-00C04FD7D062} "Microsoft History AutoComplete List" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{5E6AB780-7743-11CF-A12B-00AA004AE837} "Microsoft Internet Toolbar" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{00BB2765-6A77-11D0-A535-00C04FD7D062} "Microsoft Multiple AutoComplete List Container" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - ? - C:\PROGRA~1\Common\MICROS~1\OFFICE12\msoshext.dll  (File not found)

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - ? - C:\PROGRA~1\Common\MICROS~1\OFFICE12\msoshext.dll  (File not found)

{03C036F1-A186-11D0-824A-00AA005B4383} "Microsoft Shell Folder AutoComplete List" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{6756A641-DE71-11d0-831B-00AA005B4383} "MRU AutoComplete List" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{AF4F6510-F982-11d0-8595-00AA004CD6D8} "Registry Tree Options Utility" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{ECD4FC4E-521C-11D0-B792-00A0C90312E1} "Shell Band Site Menu" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{ECD4FC4C-521C-11D0-B792-00A0C90312E1} "Shell DeskBar" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{3CCF8A41-5C85-11d0-9796-00AA00B90ADF} "Shell DeskBarApp" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{00BB2763-6A77-11D0-A535-00C04FD7D062} "Shell Microsoft AutoComplete" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{ECD4FC4D-521C-11D0-B792-00A0C90312E1} "Shell Rebar BandSite" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{21569614-B795-46b1-85F4-E737A8DC09AD} "Shell Search Band" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{acf35015-526e-4230-9596-becbe19f0ac9} "Track Popup Bar" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{7376D660-C583-11d0-A3A5-00C04FD706EC} "TridentImageExtractor" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{DD313E04-FEFF-11d1-8ECD-0000F87A470C} "User Assist" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{07798131-AF23-11d1-9111-00A0C98BA67D} "Web Search" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - ? - C:\Programme\Common\Microsoft Shared\Web Folders\msonsext.dll  (File not found)
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----

{21569614-B795-46B1-85F4-E737A8DC09AD} "Shell Search Band" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "&Adresse" - ? - C:\WINDOWS\system32\browseui.dll  (File found, but it contains no detailed information)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\GE\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - C:\Programme\MalwarebytesAM\mbamgui.exe /starttray

"nwiz" - "NVIDIA Corporation" - nwiz.exe /install

"starter4g" - "4G Systems GmbH & Co. KG" - C:\WINDOWS\starter4g.exe
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avmailc.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE

"AVM KEN Klient" (KEN Client Service) - "AVM Berlin" - C:\Programme\KEN!\KENCLI.EXE

"Firebird Guardian - DefaultInstance" (FirebirdGuardianDefaultInstance) - "The Firebird Project" - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe

"Firebird Server - DefaultInstance" (FirebirdServerDefaultInstance) - "The Firebird Project" - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe

"Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

"InstallDriver Table Manager" (IDriverT) - ? - "C:\Programme\Common\InstallShield\Driver\1050\Intel 32\IDriverT.exe"  (File not found)

"Machine Debug Manager" (MDM) - ? - "C:\Programme\Common\Microsoft Shared\VS7Debug\mdm.exe"  (File not found)

"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\MalwarebytesAM\mbamservice.exe

"WTGService" (WTGService) - ? - C:\Programme\XSManager\WTGService.exe  (File found, but it contains no detailed information)

"XS Stick Service" (XS Stick Service) - "4G Systems GmbH & Co. KG" - C:\WINDOWS\service4g.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----

"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Edit 2 (12:58 Uhr): Avira AntiVir Professional hat übrigens keine einzige Meldung wegen OSAM gebracht... Falls das interessant ist!?!

MfG
Icy

Hmm... Der AVAST-Scan scheint sich festgemacht zu haben... Es wird keine Festplattenaktivität angezeigt und das DOS-Fenster steht seit 20 Minuten bei Scanning: C:\Windows\system32\browseui.dll. Das ist übrigens auch eine von insgesamt 3 Dateien, welche nicht defragmentiert werden konnten.

Was nun tun?

Edit: Erstmal eine HDD-Diagnose machen bevor wir fortfahren? (siehe Frage nach Gmerlog meines letzten Post)

Edit 2: Das DOS-Fenster lässt sich scheinbar noch Bedienen - ich habe gerade den Scrollbalken testweise bewegt und er ließ sich Bedienen...