Trojaner-Board - Laptop fährst sofort nach Anmeldung wieder runter

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Laptop fährst sofort nach Anmeldung wieder runter (https://www.trojaner-board.de/103154-laptop-faehrst-sofort-anmeldung-runter.html)

.

:aufsmaul:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=1b901ab3e4a88048ae6ad84f803d0c05
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-13 06:07:10
# local_time=2011-09-13 08:07:10 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=8192 67108863 100 0 329 329 0 0
# scanned=171512
# found=3
# cleaned=0
# scan_time=5776
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\OFM Tools and Cheats.rar Win32/PSW.Agent.NLY trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZFM83VZ\mts[1].exe Win32/Spy.Bebloh.H trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O7ZC4ZUD\qts[1].exe probably a variant of Win32/Spy.Agent.GJZOJRQ trojan (unable to clean) 00000000000000000000000000000000 I

:taenzer:

.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=

IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found

IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll ()

[2007.12.30 18:13:03 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

[2010.01.29 21:07:29 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\.#

:Files

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

:glaskugel2::glaskugel2::glaskugel2::glaskugel2::glaskugel2:

Zitat:

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{C94E154B-1459-4A47-966B-4B843BEFC7DB} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\ deleted successfully.
C:\Programme\AskSearch\bin\DefaultSearch.dll moved successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\search_engine folder moved successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults\preferences folder moved successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults folder moved successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\components folder moved successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome folder moved successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} folder moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten\.# folder moved successfully.
========== FILES ==========
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T9J2O4WO folder moved successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O7ZC4ZUD folder moved successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O72RYZU7 folder moved successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZFM83VZ folder moved successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 10186653 bytes
->Temporary Internet Files folder emptied: 805402 bytes

User: All Users

:aufsmaul::aufsmaul::aufsmaul:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Keine Infektion gefunden :zunge:

Zitat:

2011/09/15 17:29:43.0640 4884 TDSS rootkit removing tool 2.5.22.0 Sep 13 2011 15:55:17
2011/09/15 17:29:43.0890 4884 ================================================================================
2011/09/15 17:29:43.0890 4884 SystemInfo:
2011/09/15 17:29:43.0890 4884
2011/09/15 17:29:43.0890 4884 OS Version: 5.1.2600 ServicePack: 2.0
2011/09/15 17:29:43.0890 4884 Product type: Workstation
2011/09/15 17:29:43.0890 4884 ComputerName: CLAUDIA
2011/09/15 17:29:43.0890 4884 UserName: Karl
2011/09/15 17:29:43.0890 4884 Windows directory: C:\WINDOWS
2011/09/15 17:29:43.0890 4884 System windows directory: C:\WINDOWS
2011/09/15 17:29:43.0890 4884 Processor architecture: Intel x86
2011/09/15 17:29:43.0890 4884 Number of processors: 2
2011/09/15 17:29:43.0890 4884 Page size: 0x1000
2011/09/15 17:29:43.0890 4884 Boot type: Normal boot
2011/09/15 17:29:43.0890 4884 ================================================================================
2011/09/15 17:29:44.0703 4884 Initialize success
2011/09/15 17:29:48.0031 5264 ================================================================================
2011/09/15 17:29:48.0031 5264 Scan started
2011/09/15 17:29:48.0031 5264 Mode: Manual;
2011/09/15 17:29:48.0031 5264 ================================================================================
2011/09/15 17:29:48.0781 5264 Accelerometer (558a0039f0ef634397e1f61055504478) C:\WINDOWS\system32\DRIVERS\Accelerometer.sys
2011/09/15 17:29:48.0843 5264 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/15 17:29:48.0859 5264 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/09/15 17:29:48.0906 5264 ADIHdAudAddService (1600cb3056c984af1987627128874e39) C:\WINDOWS\system32\drivers\ADIHdAud.sys
2011/09/15 17:29:49.0140 5264 AEAudio (358063ab6c1c4173b735525cdfa65f94) C:\WINDOWS\system32\drivers\AEAudio.sys
2011/09/15 17:29:49.0312 5264 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
2011/09/15 17:29:49.0437 5264 AFD (5ac495f4cb807b2b98ad2ad591e6d92e) C:\WINDOWS\System32\drivers\afd.sys
2011/09/15 17:29:49.0546 5264 AgereSoftModem (90456051c422e09bc36e6340dd891f0c) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
2011/09/15 17:29:49.0781 5264 AliIde (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys
2011/09/15 17:29:49.0937 5264 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/09/15 17:29:50.0062 5264 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/15 17:29:50.0078 5264 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/15 17:29:50.0140 5264 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/15 17:29:50.0265 5264 ATSWPDRV (293e8cc3c246a89f4cca75b024ad757f) C:\WINDOWS\system32\DRIVERS\ATSwpDrv.sys
2011/09/15 17:29:50.0296 5264 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/15 17:29:50.0359 5264 b57w2k (74a65415dfaad20f06e7550fa9b6e012) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/09/15 17:29:50.0437 5264 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/15 17:29:50.0515 5264 btaudio (3aa4bf555c00c5b87fd48dd7bdbd4e97) C:\WINDOWS\system32\drivers\btaudio.sys
2011/09/15 17:29:50.0671 5264 BTKRNL (ba57f31eab93dc597d772f6f5b9ed54f) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
2011/09/15 17:29:50.0765 5264 BTWUSB (57e91e9925976bbc98984eebaaf1d84c) C:\WINDOWS\system32\Drivers\btwusb.sys
2011/09/15 17:29:50.0812 5264 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/15 17:29:51.0062 5264 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/09/15 17:29:51.0125 5264 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/15 17:29:51.0187 5264 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/09/15 17:29:51.0265 5264 CmBatt (4266be808f85826aedf3c64c1e240203) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/09/15 17:29:51.0312 5264 Compbatt (df1b1a24bf52d0ebc01ed4ece8979f50) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/09/15 17:29:51.0421 5264 cpudrv (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys
2011/09/15 17:29:51.0812 5264 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/15 17:29:51.0937 5264 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/15 17:29:51.0984 5264 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/15 17:29:52.0000 5264 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/15 17:29:52.0046 5264 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/09/15 17:29:52.0125 5264 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/09/15 17:29:52.0250 5264 eabfiltr (e88b0cfcecf745211bba87f44f85d0dd) C:\WINDOWS\system32\DRIVERS\eabfiltr.sys
2011/09/15 17:29:52.0312 5264 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/15 17:29:52.0343 5264 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/09/15 17:29:52.0406 5264 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/15 17:29:52.0453 5264 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/09/15 17:29:52.0562 5264 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/09/15 17:29:52.0625 5264 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/15 17:29:52.0656 5264 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/15 17:29:52.0687 5264 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/09/15 17:29:52.0750 5264 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/15 17:29:52.0796 5264 HBtnKey (de15777902a5d9121857d155873a1d1b) C:\WINDOWS\system32\DRIVERS\cpqbttn.sys
2011/09/15 17:29:52.0921 5264 HDAudBus (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/09/15 17:29:53.0000 5264 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/15 17:29:53.0046 5264 hpdskflt (5953c0952e4dd2b25b9adef05ab0285c) C:\WINDOWS\system32\DRIVERS\hpdskflt.sys
2011/09/15 17:29:53.0140 5264 HTTP (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/15 17:29:53.0343 5264 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/09/15 17:29:53.0640 5264 ialm (200cca76cd0e0f7eec78fa56c29b4d67) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/09/15 17:29:53.0843 5264 iaStor (26541a068572f650a2fa490726fe81be) C:\WINDOWS\system32\DRIVERS\iaStor.sys
2011/09/15 17:29:53.0906 5264 IFXTPM (f67554da27d5b55efcb6c7cb4818fbfd) C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS
2011/09/15 17:29:53.0937 5264 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/15 17:29:53.0968 5264 InCDfs (d075ec26f410e5fe1cc3688bcf78609f) C:\WINDOWS\system32\drivers\InCDfs.sys
2011/09/15 17:29:54.0062 5264 InCDPass (1267811f30ceccb72e97dc33742abea2) C:\WINDOWS\system32\DRIVERS\InCDPass.sys
2011/09/15 17:29:54.0078 5264 InCDrec (bb4e2c719b745e27e55edbcb1230c205) C:\WINDOWS\system32\drivers\InCDrec.sys
2011/09/15 17:29:54.0093 5264 incdrm (9589d693b003d2a4d044a2476a827e11) C:\WINDOWS\system32\drivers\incdrm.sys
2011/09/15 17:29:54.0156 5264 IntelIde (d63c33f65f6ebc732116403d88883b2d) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/09/15 17:29:54.0171 5264 intelppm (c1c2cc1da79c5ee10457ef0a3b8568c7) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/15 17:29:54.0187 5264 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/09/15 17:29:54.0218 5264 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/15 17:29:54.0328 5264 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/09/15 17:29:54.0375 5264 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/15 17:29:54.0406 5264 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/09/15 17:29:54.0437 5264 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/15 17:29:54.0484 5264 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/15 17:29:54.0515 5264 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/15 17:29:54.0625 5264 kbdhid (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/09/15 17:29:54.0703 5264 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
2011/09/15 17:29:54.0765 5264 KSecDD (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/15 17:29:54.0859 5264 MBAMSwissArmy (b18225739ed9caa83ba2df966e9f43e8) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/09/15 17:29:55.0015 5264 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/15 17:29:55.0062 5264 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/15 17:29:55.0078 5264 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/15 17:29:55.0140 5264 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/15 17:29:55.0171 5264 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/15 17:29:55.0218 5264 MQAC (db07b0088cdfd20c2a22e675120ede34) C:\WINDOWS\system32\drivers\mqac.sys
2011/09/15 17:29:55.0359 5264 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/15 17:29:55.0406 5264 MRxSmb (025af03ce51645c62f3b6907a7e2be5e) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/09/15 17:29:55.0546 5264 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/15 17:29:55.0593 5264 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/09/15 17:29:55.0640 5264 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/09/15 17:29:55.0671 5264 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/09/15 17:29:55.0687 5264 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/15 17:29:55.0718 5264 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/15 17:29:55.0859 5264 NDIS (deb57ca396b25ea7692810595f7286dd) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/15 17:29:55.0906 5264 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/09/15 17:29:55.0921 5264 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/09/15 17:29:55.0953 5264 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/09/15 17:29:55.0953 5264 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/15 17:29:55.0984 5264 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/09/15 17:29:56.0109 5264 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/15 17:29:56.0234 5264 NETw4x32 (12b0d99865434387f784268b70e23360) C:\WINDOWS\system32\DRIVERS\NETw4x32.sys
2011/09/15 17:29:56.0375 5264 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/09/15 17:29:56.0421 5264 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/15 17:29:56.0484 5264 Ntfs (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/15 17:29:56.0609 5264 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/09/15 17:29:56.0640 5264 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/09/15 17:29:56.0671 5264 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/09/15 17:29:56.0718 5264 ohci1394 (197ddf60b254a84d8656850397b5f923) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/09/15 17:29:56.0765 5264 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/09/15 17:29:56.0781 5264 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/15 17:29:56.0906 5264 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/09/15 17:29:56.0953 5264 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/15 17:29:57.0000 5264 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/15 17:29:57.0015 5264 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
2011/09/15 17:29:57.0156 5264 PLCNDIS5 (9fa04a9accc08030d87168b5559a4869) C:\WINDOWS\system32\plcndis5.sys
2011/09/15 17:29:57.0203 5264 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/09/15 17:29:57.0234 5264 PQNTDrv (4228630829c0e521c43d882a00533374) C:\WINDOWS\system32\drivers\PQNTDrv.sys
2011/09/15 17:29:57.0281 5264 prodrv06 (6d3b2fc5dec2f59b28fe5fa17250a7b0) C:\WINDOWS\System32\drivers\prodrv06.sys
2011/09/15 17:29:57.0390 5264 prohlp02 (c5f47b7ec2ec906847d5f80ba779a5bd) C:\WINDOWS\system32\drivers\prohlp02.sys
2011/09/15 17:29:57.0390 5264 prosync1 (f3471e7971ee62420451d958da635064) C:\WINDOWS\system32\drivers\prosync1.sys
2011/09/15 17:29:57.0437 5264 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/09/15 17:29:57.0453 5264 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/15 17:29:57.0515 5264 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/09/15 17:29:57.0593 5264 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/09/15 17:29:57.0625 5264 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
2011/09/15 17:29:57.0750 5264 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/09/15 17:29:57.0796 5264 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/09/15 17:29:57.0828 5264 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/09/15 17:29:57.0890 5264 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/09/15 17:29:57.0937 5264 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/15 17:29:58.0062 5264 rdpdr (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/09/15 17:29:58.0156 5264 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/15 17:29:58.0234 5264 redbook (0447abb4d7cefa12ef0d570226870b2e) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/09/15 17:29:58.0296 5264 RMCAST (9d54c7c15847b933e03d6e7c9307bae5) C:\WINDOWS\system32\drivers\RMCast.sys
2011/09/15 17:29:58.0453 5264 Secdrv (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/15 17:29:58.0500 5264 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/15 17:29:58.0531 5264 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/09/15 17:29:58.0593 5264 sfhlp01 (462aee0ea0481ea8bd45cac876a4ccc4) C:\WINDOWS\system32\drivers\sfhlp01.sys
2011/09/15 17:29:58.0625 5264 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/09/15 17:29:58.0781 5264 SipIMNDI (1644c3814e0dae66cd68e39ffb97d869) C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys
2011/09/15 17:29:58.0828 5264 SMCIRDA (d03a4cdb1b089e3f6c23501339506e5e) C:\WINDOWS\system32\DRIVERS\smcirda.sys
2011/09/15 17:29:58.0906 5264 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
2011/09/15 17:29:58.0968 5264 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/09/15 17:29:59.0093 5264 Srv (ea554a3ffc3f536fe8320eb38f5e4843) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/15 17:29:59.0171 5264 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/15 17:29:59.0218 5264 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/09/15 17:29:59.0343 5264 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/09/15 17:29:59.0390 5264 Tcpip (1dbf125862891817f374f407626967f4) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/09/15 17:29:59.0546 5264 Tcpip6 (dccacdd2747ada221aece5c9ada5d551) C:\WINDOWS\system32\DRIVERS\tcpip6.sys
2011/09/15 17:29:59.0578 5264 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/15 17:29:59.0609 5264 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/15 17:29:59.0640 5264 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/09/15 17:29:59.0718 5264 tunmp (87a0e9e18c10a9e454238e3330e2a26d) C:\WINDOWS\system32\DRIVERS\tunmp.sys
2011/09/15 17:29:59.0843 5264 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/15 17:29:59.0921 5264 Update (ced744117e91bdc0beb810f7d8608183) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/15 17:29:59.0984 5264 USBAAPL (5c2bdc152bbab34f36473deaf7713f22) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/09/15 17:30:00.0031 5264 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/15 17:30:00.0062 5264 usbehci (b0d7020386c7187ef9c5a9643f289cd3) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/15 17:30:00.0187 5264 usbhub (ace960e54148821e8e48f5d191562c28) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/15 17:30:00.0234 5264 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/09/15 17:30:00.0281 5264 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/15 17:30:00.0328 5264 usbuhci (ff6e4fdeb82dc228efa490336409c6bd) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/09/15 17:30:00.0390 5264 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2011/09/15 17:30:00.0531 5264 ViaIde (59cb1338ad3654417bea49636457f65d) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/09/15 17:30:00.0546 5264 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/09/15 17:30:00.0593 5264 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/15 17:30:00.0671 5264 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/09/15 17:30:00.0734 5264 WmiAcpi (ae2c8544e747c20062db27456ea2d67a) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2011/09/15 17:30:00.0796 5264 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/09/15 17:30:00.0937 5264 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/09/15 17:30:01.0015 5264 MBR (0x1B8) (4f02a8d4048a138c450ed7f867eb0144) \Device\Harddisk0\DR0
2011/09/15 17:30:01.0234 5264 Boot (0x1200) (7a0a7764d727aebbb3b52e0568ffe424) \Device\Harddisk0\DR0\Partition0
2011/09/15 17:30:01.0250 5264 Boot (0x1200) (b6f280dc4f594fc5425e8f553e082989) \Device\Harddisk0\DR0\Partition1
2011/09/15 17:30:01.0265 5264 Boot (0x1200) (775f43dc0d05da14dfadeb2c1201c920) \Device\Harddisk0\DR0\Partition2
2011/09/15 17:30:01.0296 5264 Boot (0x1200) (68c47f24caf10671564ca3ed85bc0411) \Device\Harddisk0\DR0\Partition3
2011/09/15 17:30:01.0328 5264 Boot (0x1200) (a30a80cc924f9a07b183487f084c2e2b) \Device\Harddisk0\DR0\Partition4
2011/09/15 17:30:01.0359 5264 Boot (0x1200) (f0da5dfb491d55042edc4acf76301498) \Device\Harddisk0\DR0\Partition5
2011/09/15 17:30:01.0390 5264 Boot (0x1200) (1a8dd38ecb1d4a33090ae58c57e91c48) \Device\Harddisk0\DR0\Partition6
2011/09/15 17:30:01.0390 5264 ================================================================================
2011/09/15 17:30:01.0390 5264 Scan finished
2011/09/15 17:30:01.0390 5264 ================================================================================
2011/09/15 17:30:01.0421 4372 Detected object count: 0
2011/09/15 17:30:01.0421 4372 Actual detected object count: 0

:confused::confused::confused::confused::confused:

.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

.

:kloppen::kloppen::kloppen:

Combofix Logfile:

Code:

ComboFix 11-09-15.05 - Karl 15.09.2011  20:05:29.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1015.576 [GMT 2:00]

ausgeführt von:: f:\programme\TROJANER-Board\KOMBOFIX\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL1D3.tmp.70313947.ini

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL38.tmp.bac7b790.ini

c:\dokumente und einstellungen\CK\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

c:\dokumente und einstellungen\CK\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory

c:\dokumente und einstellungen\CK\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini

c:\dokumente und einstellungen\CK\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL1D3.tmp.70313947.ini

c:\dokumente und einstellungen\CK\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL38.tmp.bac7b790.ini

c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory

c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini

c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL1D3.tmp.70313947.ini

c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL38.tmp.bac7b790.ini

c:\dokumente und einstellungen\Karl\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

c:\dokumente und einstellungen\Karl\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory

c:\dokumente und einstellungen\Karl\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini

c:\dokumente und einstellungen\Karl\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL1D3.tmp.70313947.ini

c:\dokumente und einstellungen\Karl\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL38.tmp.bac7b790.ini

c:\dokumente und einstellungen\Karl\WINDOWS

c:\dokumente und einstellungen\Katharina\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

c:\dokumente und einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory

c:\dokumente und einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini

c:\dokumente und einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL1D3.tmp.70313947.ini

c:\dokumente und einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL38.tmp.bac7b790.ini

c:\dokumente und einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe

c:\dokumente und einstellungen\Robert\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\system32\comct332.ocx

c:\windows\system32\d3d9caps.dat

c:\windows\wiaservim.log

c:\windows\winhelp.ini

.

c:\windows\system32\drivers\ndis.sys . . . ist infiziert!!

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-08-15 bis 2011-09-15  ))))))))))))))))))))))))))))))

.

.

2011-09-13 16:25 . 2011-09-13 16:25        --------        d-----w-        c:\programme\ESET

2011-09-11 13:44 . 2011-09-11 13:44        --------        d-----w-        c:\dokumente und einstellungen\Karl\Anwendungsdaten\Malwarebytes

2011-09-11 13:44 . 2011-09-11 13:44        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-09-11 13:44 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-09-11 13:44 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-09-07 00:19 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe

2011-09-07 00:19 . 2011-09-07 18:19        --------        d-----w-        C:\_OTL

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-08-11 00:40 . 2011-05-16 19:48        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2010-09-30 16:44 . 2008-09-22 04:53        119808        ----a-w-        c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2009-04-19 . AA898F84D2B59129FB92E143A2C73434 . 212992 . . [5.1.2600.2824] . . c:\windows\system32\drivers\ndis.sys

[-] 2009-04-19 . AA898F84D2B59129FB92E143A2C73434 . 212992 . . [5.1.2600.2824] . . c:\windows\system32\dllcache\ndis.sys

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]

"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsmqIntCert"="mqrt.dll" [2004-08-04 177152]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2007-05-08 331552]

"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-18 138008]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-18 162584]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-18 138008]

"hpWirelessAssistant"="c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-05-11 472632]

"QlbCtrl"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-05-02 163840]

"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]

"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]

"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-09 806912]

"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-10-09 697976]

"Cpqset"="c:\programme\Hewlett-Packard\Default Settings\cpqset.exe" [2007-05-03 57344]

"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.exe" [2007-01-24 124928]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-07-25 1397760]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-14 185632]

"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-09-30 30192]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

"iTunesHelper"="j:\itunes\iTunesHelper.exe" [2010-11-17 421160]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-05-27 40368]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]

"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]

"Corel Photo Downloader"="c:\programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2007-08-16 531272]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544]

.

c:\dokumente und einstellungen\Katharina\Startmen\Programme\Autostart\

BEE Service.lnk - c:\program files\V-Gear BEE\VBService.exe [2009-1-28 1393664]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2007-02-07 01:30        74240        ----a-r-        c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk

backup=c:\windows\pss\Google Updater.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2007-06-25 06:25        77824        -c--a-w-        c:\programme\Java\jre1.6.0\bin\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\mqsvc.exe"=

"c:\\WINDOWS\\SMINST\\Scheduler.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\devolo\\informer\\devinf.exe"=

"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=

"h:\\Programme\\ICQ\\ICQ6\\ICQ.exe"=

"h:\\Video\\TV Player\\PPLive\\PPLive.exe"=

"h:\\Video\\TV Player\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\V-Gear BEE\\VBService.exe"=

"c:\\Programme\\ZATTOO Fernsehen\\Zattoo\\Zattoo2.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"j:\\itunes\\iTunes.exe"=

"c:\\Dokumente und Einstellungen\\Robert\\Anwendungsdaten\\ICQ\\Application\\ICQ7.2\\ICQ.exe"=

"c:\\Dokumente und Einstellungen\\Robert\\Lokale Einstellungen\\Anwendungsdaten\\Skype\\Plugin Manager\\skypePM.exe"=

"C:2\\Programme\\TmNationsForever\\TmForever.exe"=

"C:3\\Programme\\TmNationsForever\\TmForever.exe"=

"C:0\\Programme\\TmNationsForever\\TmForever.exe"=

"C:1\\Programme\\TmNationsForever\\TmForever.exe"=

"c:\\Dokumente und Einstellungen\\Robert\\Lokale Einstellungen\\Anwendungsdaten\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

"C:0\\Programme\\FlatOut 2\\Call of Duty 2 1.3\\CoD2MP_s.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"58919:TCP"= 58919:TCP:Pando Media Booster

"58919:UDP"= 58919:UDP:Pando Media Booster

.

R2 ASBroker;Anmeldesitzungsbroker;c:\windows\System32\svchost.exe -k Cognizance [04.08.2004 10:00 14336]

R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [04.08.2004 10:00 14336]

R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]

R2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe [23.07.2011 11:56 632792]

R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [25.06.2007 07:57 540448]

R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [13.03.2003 12:58 17018]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [19.09.2006 18:58 36608]

R3 SipIMNDI;T-Home Dialerschutz VoIP Service;c:\windows\system32\drivers\SipIMNDI.sys [29.01.2010 20:35 24352]

S1 84071a83;84071a83;c:\windows\system32\drivers\84071a83.sys --> c:\windows\system32\drivers\84071a83.sys [?]

S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

S2 DFSVC;T-Home Dialerschutz Dienst;c:\programme\NORTON 360\DFInject.exe --> c:\programme\NORTON 360\DFInject.exe [?]

S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 11:58 11336]

S3 DFSYS;T-Home Dialerschutz Hooking Treiber;\??\c:\programme\NORTON 360\DFSYS.SYS --> c:\programme\NORTON 360\DFSYS.SYS [?]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]

S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [20.09.2007 20:45 30192]

S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys --> c:\windows\system32\DRIVERS\klmouflt.sys [?]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.09.2011 15:44 41272]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

Cognizance        REG_MULTI_SZ           ASBroker ASChannel

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-04-19 11:23        452136        -c--a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-08-12 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

2011-08-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3651596109-1865983425-202582196-1008Core.job

- c:\dokumente und einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-11-17 08:38]

.

2011-09-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3651596109-1865983425-202582196-1008UA.job

- c:\dokumente und einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-11-17 08:38]

.

2011-09-13 c:\windows\Tasks\RMSchedule.job

- c:\programme\Registry Mechanic\RegMech.exe [2011-07-23 15:05]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mLocal Page = 

uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\Karl\Anwendungsdaten\Mozilla\Firefox\Profiles\oa2vdayb.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: network.proxy.type - 4

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\DivXHTML5

FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-WatchDog - c:\programme\InterVideo\DVD Check\DVDCheck.exe

HKLM-Run-T-Home Dialerschutz-Software - c:\programme\NORTON 360\Defender.exe

AddRemove-7-Zip - f:\programme\7-ZIP\Uninstall.exe

AddRemove-82A44D22-9452-49FB-00FB-CEC7DCAF7E23 - k:\robert\Programme\EA Sports\EASOUNInstaller.exe

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

AddRemove-TmNationsForever_is1 - k:\programme\TmNationsForever\unins000.exe

AddRemove-{3EE2F527-F306-49E9-0086-662C337ADD3B} - k:\programme\Fussball Manager 07\EAUninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-09-15 20:13

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  Cpqset = c:\programme\Hewlett-Packard\Default Settings\cpqset.exe? ??????????T??????????????|?M?|?????M?|&?@ 

.

Scanne versteckte Dateien... 

.

.

c:\windows\system32\wuapi.dll.wusetup.181953.bak 561688 bytes executable

c:\windows\system32\wuauclt.exe.wusetup.182750.bak 51224 bytes executable

c:\windows\system32\wuaueng.dll.wusetup.184062.bak 1809944 bytes executable

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 3

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\controlset003\Services\pdfcDispatcher]

"ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(1364)

c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

c:\programme\Hewlett-Packard\IAM\bin\ItMsg.dll

c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll

c:\programme\Hewlett-Packard\IAM\bin\HPBrand.dll

c:\programme\Hewlett-Packard\IAM\bin\DEU\HPBrand.dll

c:\programme\Hewlett-Packard\IAM\bin\DEU\ItMsg.dll

c:\programme\Hewlett-Packard\IAM\Bin\ASChnl.dll

c:\programme\Hewlett-Packard\IAM\Bin\ItDAC.dll

c:\programme\Hewlett-Packard\IAM\Bin\ItReports.DLL

c:\programme\Hewlett-Packard\IAM\Bin\BioAuth.dll

c:\programme\Hewlett-Packard\IAM\bin\DEU\BioAuth.dll

c:\programme\Hewlett-Packard\IAM\Bin\ASBIoAT.dll

c:\programme\Hewlett-Packard\IAM\Bin\ittal.dll

c:\programme\Hewlett-Packard\IAM\Bin\STEngine.dll

c:\programme\Hewlett-Packard\IAM\Bin\ItVCClient.dll

c:\programme\Hewlett-Packard\IAM\Bin\AuthWiz.dll

c:\programme\Hewlett-Packard\IAM\bin\DEU\AuthWiz.dll

.

- - - - - - - > 'explorer.exe'(2604)

c:\windows\system32\APSHook.dll

c:\windows\system32\btmmhook.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Ahead\InCD\InCDsrv.exe

c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\msdtc.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\windows\system32\PSIService.exe

c:\programme\Hewlett-Packard\IAM\bin\asghost.exe

c:\windows\system32\mqsvc.exe

c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe

c:\programme\Canon\CAL\CALMAIN.exe

c:\windows\system32\mqtgsvc.exe

c:\windows\System32\SCardSvr.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\igfxsrvc.exe

c:\programme\Hewlett-Packard\Shared\HpqToaster.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-09-15  20:17:16 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-09-15 18:17

.

Vor Suchlauf: 17 Verzeichnis(se), 11.172.626.432 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 12.272.267.264 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - 0C0BDC70717AA2E3375765542438C24C

--- --- ---

:glaskugel:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

.

GMER Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2011-09-17 08:23:12

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.SBDO

Running: 6pb4k0u3.exe; Driver: C:\DOKUME~1\Karl\LOKALE~1\Temp\pxrdqpog.sys
 
 

---- System - GMER 1.0.15 ----
 

Code            870FC4D0                                                                                                             pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

.reloc          C:\WINDOWS\system32\drivers\NDIS.sys                                                                                 section is executable [0x856B1200, 0x32DAA, 0xE0000060]

?               Combo-Fix.sys                                                                                                        Das System kann die angegebene Datei nicht finden. !

?               C:\ComboFix\catchme.sys                                                                                              Das System kann den angegebenen Pfad nicht finden. !

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                           Das System kann die angegebene Datei nicht finden. !
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!GetSysColor                                                         7E368E78 5 Bytes  JMP 0041C110 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!GetSysColorBrush                                                    7E368EAB 5 Bytes  JMP 0041C180 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!SetScrollInfo                                                       7E369056 7 Bytes  JMP 0041C000 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!GetScrollInfo                                                       7E370DA2 7 Bytes  JMP 0041BF50 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!ShowScrollBar                                                       7E37F2B3 5 Bytes  JMP 0041C0D0 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!GetScrollPos                                                        7E37F6C4 5 Bytes  JMP 0041BF90 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!SetScrollPos                                                        7E37F710 5 Bytes  JMP 0041C040 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!GetScrollRange                                                      7E37F747 5 Bytes  JMP 0041BFC0 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!SetScrollRange                                                      7E37F95B 5 Bytes  JMP 0041C080 C:\WINDOWS\SMINST\Scheduler.exe

.text           C:\WINDOWS\SMINST\Scheduler.exe[3980] USER32.dll!EnableScrollBar                                                     7E3B7DDD 7 Bytes  JMP 0041BF10 C:\WINDOWS\SMINST\Scheduler.exe
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\NDIS \Device\Ndis                                                                                            [856B8984] NDIS.sys[.reloc] 
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
 

Device          \Driver\prodrv06 \Device\ProDrv06                                                                                    E22A7C30

Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                   prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                        prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\prohlp02 \Device\ProHlp02                                                                                    E1964348
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             2

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             7

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             35

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             7

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256

Reg             HKLM\SYSTEM\CurrentControlSet\Services\MRxDAV\EncryptedDirectories@                                                  
 

---- Files - GMER 1.0.15 ----
 

File            C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdndis.sys                                                             (size mismatch) 149123/182528 bytes executable

File            C:\SwSetup\Btooth\btwdndis.sys                                                                                       (size mismatch) 149123/182528 bytes executable

File            C:\SwSetup\Btooth\Win32\drivers\btwdndis.sys                                                                         (size mismatch) 149123/182528 bytes executable

File            C:\SwSetup\Btooth\Win64\drivers\btwdndis.sys                                                                         (size mismatch) 148992/182528 bytes executable

File            C:\SwSetup\NIS07\GR\Suport64\SymNet\SND_x64\symndis.sys                                                              (size mismatch) 41784/182528 bytes executable

File            C:\SwSetup\NIS07\GR\Support\SymNet\SymNet\Drivers\symndis.sys                                                        (size mismatch) 35256/182528 bytes executable

File            C:\SwSetup\NIS07\Suport64\SymNet\SND_x64\symndis.sys                                                                 (size mismatch) 41784/182528 bytes executable

File            C:\SwSetup\NIS07\Support\SymNet\SymNet\Drivers\symndis.sys                                                           (size mismatch) 35256/182528 bytes executable

File            C:\WINDOWS\system32\dllcache\ndis.sys                                                                                (size mismatch) 212992/182528 bytes executable

File            C:\WINDOWS\system32\drivers\ndis.sys                                                                                 (size mismatch) 212992/182528 bytes executable
 

---- EOF - GMER 1.0.15 ----

--- --- ---

:Boogie::Boogie::Boogie:

und hier OSAM

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 08:49:05 on 17.09.2011
 

OS: Windows XP Professional Service Pack 2 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.6.18
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

"GoogleUpdateTaskUserS-1-5-21-3651596109-1865983425-202582196-1008Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskUserS-1-5-21-3651596109-1865983425-202582196-1008UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

"RMSchedule.job" - "PC Tools" - C:\Programme\Registry Mechanic\RegMech.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"accelerometercp.CPL" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.CPL

"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl

"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Accelerometer" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.cpl

"CognizanceWS" - "Cognizance Corporation" - C:\PROGRA~1\HEWLET~1\IAM\Bin\Settings.dll

"HPWACpl" - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Wireless Assistant\WACntlPnl.cpl

"Pando" - "Pando Networks" - C:\Programme\Pando Networks\Media Booster\PMB.cpl

"PTHOST.CPL" - " Hewlett-Packard Development Company, L.P" - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOST.CPL

"QlbConfig" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbConfg.cpl

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"84071a83" (84071a83) - ? - C:\WINDOWS\System32\drivers\84071a83.sys  (File not found)

"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"cpudrv" (cpudrv) - ? - C:\Programme\SystemRequirementsLab\cpudrv.sys  (File found, but it contains no detailed information)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys

"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys

"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys

"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys

"Kaspersky Lab KLMOUFLT" (klmouflt) - ? - C:\WINDOWS\System32\DRIVERS\klmouflt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbamswissarmy.sys

"mbr" (mbr) - ? - C:\DOKUME~1\Karl\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"NDIS-Systemtreiber" (NDIS) - ? - C:\WINDOWS\system32\drivers\NDIS.sys  (File found, but it contains no detailed information)

"PCAMPR5 NDIS Protocol Driver" (PCAMPR5) - ? - C:\WINDOWS\system32\PCAMPR5.SYS  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PLCNDIS5 NDIS Protocol Driver" (PLCNDIS5) - "Intellon, Inc." - C:\WINDOWS\system32\plcndis5.sys

"PQNTDrv" (PQNTDrv) - "PowerQuest Corporation" - C:\WINDOWS\system32\drivers\PQNTDrv.sys

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"pxrdqpog" (pxrdqpog) - ? - C:\DOKUME~1\Karl\LOKALE~1\Temp\pxrdqpog.sys  (Hidden registry entry, rootkit activity | File not found)

"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)

"Spyware Terminator 2012 Realtime Shield Driver" (sp_rsdrv2) - ? - C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

"StarForce Protection Environment Driver v6" (prodrv06) - "Protection Technology" - C:\WINDOWS\System32\drivers\prodrv06.sys

"StarForce Protection Helper Driver" (sfhlp01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp01.sys

"StarForce Protection Helper Driver v2" (prohlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\prohlp02.sys

"StarForce Protection Synchronization Driver v1" (prosync1) - "Protection Technology" - C:\WINDOWS\System32\drivers\prosync1.sys

"T-Home Dialerschutz Hooking Treiber" (DFSYS) - ? - C:\Programme\NORTON 360\DFSYS.SYS  (File not found)

"T-Home Dialerschutz VoIP Service" (SipIMNDI) - "T-Systems International GmbH" - C:\WINDOWS\System32\DRIVERS\SipIMNDI.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - F:\Programme\7-ZIP\7-zip.dll  (File not found)

{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - J:\itunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll

{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll

{7F67036B-66F1-411A-AD85-759FB9C5B0DB} "SampleView" - "XSS" - C:\WINDOWS\system32\ShellvRTF.dll

{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{F32C83B9-DF1D-42AD-9741-C52909703957} "STShellHandler" - "Crawler.com" - C:\Programme\Spyware Terminator\STShell.dll

{2F603045-309F-11CF-9774-0020AFD0CFF6} "Synaptics Control Panel" - ? -   (File not found | COM-object registry key not found)

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
 

[Internet Explorer]

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

{CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} "SysInfo Class" - "Husdawg, LLC" - C:\Programme\SystemRequirementsLab\srldetect_intel_4.4.24.0.dll / hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.4.24.0.cab

{5ED80217-570B-4DA9-BF44-BE107C0EC166} "Windows Live Safety Center Base Module" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\wlscBase.dll / hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

"ICQ6" - "ICQ, Inc." - H:\Programme\ICQ\ICQ6\ICQ.exe

"PokerStars.net" - "PokerStars" - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe

"PPLive" - ? - H:\Video\TV Player\PPLive\PPLive.exe  (File found, but it contains no detailed information)

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

{DF21F1DB-80C6-11D3-9483-B03D0EC10000} "Credential Manager for HP ProtectTools" - "Bioscrypt Inc." - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

{326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

{055FD26D-3A88-4e15-963D-DC8493744B1D} "XTTBPos00 Class" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll  (File not found)
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Karl\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"LightScribe Control Panel" - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden

"NBJ" - "Ahead Software AG" - "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"AccelerometerSysTrayApplet" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\AccelerometerSt.exe

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"CognizanceTS" - "Cognizance Corporation" - rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

"Corel Photo Downloader" - "Corel, Inc." - "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

"Cpqset" - ? - C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe  (File found, but it contains no detailed information)

"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

"Google Desktop Search" - "Google" - "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup

"HP Software Update" - "Hewlett-Packard" - C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

"hpWirelessAssistant" - "Hewlett-Packard Development Company, L.P." - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe

"iTunesHelper" - "Apple Inc." - "J:\itunes\iTunesHelper.exe"

"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

"PDF Complete" - "PDF Complete Inc" - "C:\Programme\PDF Complete\pdfsty.exe"

"PTHOSTTR" - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

"QlbCtrl" - " Hewlett-Packard Development Company, L.P." - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

"Recguard" - ? - C:\WINDOWS\Sminst\Recguard.exe

"Reminder" - ? - C:\WINDOWS\Creator\Remind_XP.exe

"Scheduler" - ? - C:\WINDOWS\SMINST\Scheduler.exe

"SpywareTerminatorShield" - "Crawler.com" - C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe

"SpywareTerminatorUpdater" - "Crawler.com" - C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
 

[Network Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----

"Credential Manager" - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

"PDFC" - "PDF Complete, Inc." - C:\WINDOWS\system32\pdfc_port.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anmeldesitzungsbroker" (ASBroker) - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Automatisches LiveUpdate - Scheduler" (Automatisches LiveUpdate - Scheduler) - ? - "C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"  (File not found)

"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

"Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe

"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe

"Google Desktop Manager 5.9.1005.12335" (GoogleDesktopManager-051210-111108) - "Google" - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe

"InCD Helper (read only)" (InCDsrvR) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

"Lokaler Verbindungskanal" (ASChannel) - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASChnl.dll

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"PC Angel" (PCA) - "SoftThinks" - C:\WINDOWS\SMINST\PCAngel.exe

"PC Tools Startup and Shutdown Monitor service" (PCToolsSSDMonitorSvc) - "PC Tools" - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe

"PDF Document Manager" (pdfcDispatcher) - "PDF Complete Inc" - C:\Programme\PDF Complete\pdfsvc.exe

"ProtexisLicensing" (ProtexisLicensing) - ? - C:\WINDOWS\system32\PSIService.exe

"RoxMediaDB9" (RoxMediaDB9) - "Sonic Solutions" - c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

"Spyware Terminator 2012 Realtime Shield Service" (ST2012_Svc) - "Crawler.com" - C:\Programme\Spyware Terminator\st_rsser.exe

"stllssvr" (stllssvr) - "MicroVision Development, Inc." - c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe

"T-Home Dialerschutz Dienst" (DFSVC) - ? - C:\Programme\NORTON 360\DFInject.exe  (File not found)
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{8F51D94E-8B89-4844-B15C-9C049BA0F49F} "DLLName" - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ItVCard.dll

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"OneCard" - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

:wtf:

.

Zitat:

Zitat von cosinus (Beitrag 702546)

Was ist mit aswMBR?

Übersicht verloren :crazy:

Zitat:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-17 18:29:31
-----------------------------
18:29:31.062 OS Version: Windows 5.1.2600 Service Pack 2
18:29:31.062 Number of processors: 2 586 0xF0A
18:29:31.062 ComputerName: CLAUDIA UserName: Karl
18:29:31.718 Initialize success
18:35:57.546 AVAST engine defs: 11091700
18:41:33.531 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
18:41:33.531 Disk 0 Vendor: Hitachi_ SBDO Size: 114473MB BusType: 3
18:41:33.546 Disk 0 MBR read successfully
18:41:33.546 Disk 0 MBR scan
18:41:33.593 Disk 0 unknown MBR code
18:41:33.593 Disk 0 scanning sectors +234436545
18:41:33.656 Disk 0 scanning C:\WINDOWS\system32\drivers
18:41:41.375 File: C:\WINDOWS\system32\drivers\ndis.sys **INFECTED** Win32:Cutwail-AP [Rtk]
18:41:45.078 Service scanning
18:41:46.640 Modules scanning
18:41:48.750 Module: C:\WINDOWS\System32\Drivers\NDIS.sys **SUSPICIOUS**
18:41:54.890 Disk 0 trace - called modules:
18:41:54.921 ntkrnlpa.exe >>UNKNOWN [0x870824d0]<<
18:41:54.953 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8714fab8]
18:41:55.156 AVAST engine scan C:\WINDOWS
18:42:01.625 AVAST engine scan C:\WINDOWS\system32
18:43:51.812 AVAST engine scan C:\WINDOWS\system32\drivers
18:43:59.609 File: C:\WINDOWS\system32\drivers\ndis.sys **INFECTED** Win32:Cutwail-AP [Rtk]
18:44:04.343 AVAST engine scan C:\Dokumente und Einstellungen\Karl
18:45:11.984 AVAST engine scan C:\Dokumente und Einstellungen\All Users
18:47:16.203 Scan finished successfully
20:47:34.328 Disk 0 MBR has been saved successfully to "F:\Programme\TROJANER-Board\aswMBR\MBR.dat"
20:47:34.359 The log file has been saved successfully to "F:\Programme\TROJANER-Board\aswMBR\aswMBR.txt"

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Zitat:

Zitat von cosinus (Beitrag 702810)

All well done :applaus:

Zitat:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-19 22:18:20
-----------------------------
22:18:20.437 OS Version: Windows 5.1.2600 Service Pack 2
22:18:20.437 Number of processors: 2 586 0xF0A
22:18:20.437 ComputerName: CLAUDIA UserName: Karl
22:18:20.921 Initialize success
22:18:28.765 AVAST engine defs: 11091901
22:18:38.718 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
22:18:38.718 Disk 0 Vendor: Hitachi_ SBDO Size: 114473MB BusType: 3
22:18:38.734 Disk 0 MBR read successfully
22:18:38.734 Disk 0 MBR scan
22:18:38.796 Disk 0 Windows XP default MBR code
22:18:38.812 Disk 0 scanning sectors +234436545
22:18:38.875 Disk 0 scanning C:\WINDOWS\system32\drivers
22:18:46.781 File: C:\WINDOWS\system32\drivers\ndis.sys **INFECTED** Win32:Cutwail-AP [Rtk]
22:18:49.875 Service scanning
22:18:51.250 Modules scanning
22:18:53.156 Module: C:\WINDOWS\System32\Drivers\NDIS.sys **SUSPICIOUS**
22:18:59.640 Disk 0 trace - called modules:
22:18:59.640 ntkrnlpa.exe >>UNKNOWN [0x870a34d0]<<
22:18:59.656 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x870deab8]
22:18:59.968 AVAST engine scan C:\WINDOWS
22:19:06.203 AVAST engine scan C:\WINDOWS\system32
22:20:38.921 AVAST engine scan C:\WINDOWS\system32\drivers
22:20:45.703 File: C:\WINDOWS\system32\drivers\ndis.sys **INFECTED** Win32:Cutwail-AP [Rtk]
22:20:50.265 AVAST engine scan C:\Dokumente und Einstellungen\Karl
22:21:48.937 AVAST engine scan C:\Dokumente und Einstellungen\All Users
22:23:28.343 Scan finished successfully
22:24:51.515 Disk 0 MBR has been saved successfully to "F:\Programme\TROJANER-Board\aswMBR\MBR.dat"
22:24:51.515 The log file has been saved successfully to "F:\Programme\TROJANER-Board\aswMBR\aswMBR3.txt"

:glaskugel:

Zitat:

22:18:46.781 File: C:\WINDOWS\system32\drivers\ndis.sys **INFECTED** Win32:Cutwail-AP [Rtk]
22:18:49.875 Service scanning
22:18:51.250 Modules scanning
22:18:53.156 Module: C:\WINDOWS\System32\Drivers\NDIS.sys **SUSPICIOUS**

Hmpf, da ist eine angeblich noch infizierte Systemdatei.

Führ bitte nochmal CF aus, wenn es das nicht bringt müssen wir anders ran.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo, eine Frage.

Unabhängig vom weiteren Vorgehen :glaskugel:

Kann mein Sohn den Laptop nutzen um Informationen, die er für Hausaufgaben benötigt, zu surfen ?

Danke für eine Antwort

.