Bootsektorvirus BOO/Sinowal.E
 

Hallo zusammen,

ich hab seit heute den genannten Virus auf dem PC. Das zeigte mir AntiVir bei einem Scan an, mit dem Hinweis ich solle mir das dazugehörige Repair Tool runterladen und es damit beheben. Allerdings hab ich genug Threads im Internet gelesen in denen jedesmal gesagt wurde dass besagtes Repair Tool nie richtig funktionieren würde. Unter anderem bin ich auch hier auf den Thread gestoßen: http://www.trojaner-board.de/77899-b...h-den-los.html
Allerdings hier schon die erste Frage:
Habe GMER durchlaufen lassen (dauert das immer so lange... 3 Stunden?).
Ich hab keine Ahnung ob der Virus noch drauf ist bzw. ob er Schaden anrichtet. Habe im Moment auch keine XP CD bei mir, sonst hätte ich das Tool davon zur Reinigung benutzt.

Nun, was sind die nächsten Schritte die ich jetzt angehen sollte?

Gruß

Hallo und Herzlich Willkommen! :)

Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

gruß
Coverflow

Hallo und :hallo:

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.


Danach bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Ok, hier der mbr.log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x885c3f10
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> 0x88600340
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Use "Recovery Console" command "fixmbr" to clear infection !


Rest mache ich jetzt.

Nur mal einen Kommentar zum MBR-Ergebnis:

Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Use "Recovery Console" command "fixmbr" to clear infection !

Dein MBR dürfte mittlerweile okay sein, es werden nur "Reste" am Ende der Platte gefunden. Sollte harmlos sein.

So, nun der Rest:

http://www.file-upload.net/download-...sktop.rar.html

Achso, zum Kommentar von Coverflow. Ich hab nachdem ich das mit dem Virus entdeckt hatte einige Stunden später auch die Systemwiederherstellung gemacht, allerdings weiß ich nicht ob der Virus wirklich erst seit heute da ist oder ob er schon länger drauf ist und er nur durch Zufall heute erst entdeckt wurde, denn ich hab seit längerer Zeit auch wieder den AntiVir Scanner durchlaufen lassen. Jedenfalls hatte ich nach der Systemwiederherstellung das Gefühl dass immer noch nicht alles so ist wie es sein sollte, meine Internetverbindung beispielsweise war unfassbar lahm, mittlerweile gehts aber wieder.

Hoffe die ganzen Schritte haben nun etwas positives ergeben.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:


Danach mal den Avenger anwenden:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

winsys2.exe

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.15 -
AhnLab-V3 5.0.0.2 2009.10.15 -
AntiVir 7.9.1.35 2009.10.15 -
Antiy-AVL 2.0.3.7 2009.10.15 -
Authentium 5.1.2.4 2009.10.15 -
Avast 4.8.1351.0 2009.10.14 -
AVG 8.5.0.420 2009.10.15 -
BitDefender 7.2 2009.10.15 -
CAT-QuickHeal 10.00 2009.10.15 -
ClamAV 0.94.1 2009.10.15 -
Comodo 2609 2009.10.15 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.10.15 -
eSafe 7.0.17.0 2009.10.15 -
eTrust-Vet 35.1.7069 2009.10.15 -
F-Prot 4.5.1.85 2009.10.15 -
F-Secure 8.0.14470.0 2009.10.15 -
Fortinet 3.120.0.0 2009.10.15 -
GData 19 2009.10.15 -
Ikarus T3.1.1.72.0 2009.10.15 -
Jiangmin 11.0.800 2009.10.15 -
K7AntiVirus 7.10.871 2009.10.15 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.15 -
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
McAfee-GW-Edition 6.8.5 2009.10.15 -
Microsoft 1.5101 2009.10.15 -
NOD32 4511 2009.10.15 -
Norman 6.03.02 2009.10.15 -
nProtect 2009.1.8.0 2009.10.15 -
Panda 10.0.2.2 2009.10.15 Trj/Agent.ISR
PCTools 4.4.2.0 2009.10.15 -
Prevx 3.0 2009.10.15 -
Rising 21.51.34.00 2009.10.15 -
Sophos 4.46.0 2009.10.15 -
Sunbelt 3.2.1858.2 2009.10.15 -
Symantec 1.4.4.12 2009.10.15 -
TheHacker 6.5.0.2.043 2009.10.15 -
TrendMicro 8.950.0.1094 2009.10.15 -
VBA32 3.12.10.11 2009.10.15 -
ViRobot 2009.10.15.1986 2009.10.15 -
VirusBuster 4.6.5.0 2009.10.15 -
weitere Informationen
File size: 208896 bytes
MD5...: daee383586db76671c43a83c04e51283
SHA1..: fd2d42ae4d08c8c05fd3d83f23226ce5876f2094
SHA256: 276c9f0396e17545b99ca1142b4f2b682ca06f56325c15bc7c9bb73312d8f654
ssdeep: 3072:XRVfFvREIVQFb+W4qTb6BfyztY4fNIA4Yf4xcEQKJtcQcCkpTQ7:BxH3VQF
bb4qTbOyJfff4xcFmc5m

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xff14
timedatestamp.....: 0x4452df55 (Sat Apr 29 03:36:53 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20696 0x21000 6.63 bd377d7cb431186fd1db7f3366661b37
.rdata 0x22000 0x7cfe 0x8000 4.89 562171d06132cc61a3adc5c240a48ca4
.data 0x2a000 0x8e54 0x3000 3.11 2fd85ba7481de3b532c9cedb7ed74e53
CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1
.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f

( 8 imports )
> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter
> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2003
product......: DOT Application
description..: DOT MFC Application
original name: DOT.EXE
internal name: DOT
file version.: 1, 0, 0, 2
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=daee383586db76671c43a83c04e51283' target='_blank'>http://www.threatexpert.com/report.aspx?md5=daee383586db76671c43a83c04e51283</a>

__________________________________________________

btliajkxwvwy.sys

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.14 -
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5770 2009.10.13 -
McAfee+Artemis 5770 2009.10.13 -
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.Suspicious.L
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 W32/Rootkit.AMIO
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 RootKit.Win32.Undef.ov
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
weitere Informationen
File size: 8704 bytes
MD5 : 34d44edd829476e085f5c22ac9dfe315
SHA1 : 409f8e1239c67925b4f7d137af35a30ddb40235a
SHA256: 2634458163d864e03932ae641b001250f26f6a11c53af708f3b26b422e52de3b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1A05
timedatestamp.....: 0x45ED27C2 (Tue Mar 6 09:35:14 2007)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x10F8 0x1100 6.35 e416839d01f2fbab2caa1703442c6784
.rdata 0x1580 0x1A4 0x200 3.36 9bd8d3c2865ba1c958ede96ab7698947
.data 0x1780 0x225 0x280 2.04 db4ace59562be21de38e9c3e3b0f40b5
INIT 0x1A00 0x268 0x280 5.18 bc44fb0521e9ff1b4bcdbf91e57b4504
.rsrc 0x1C80 0x3B0 0x400 3.11 e767b56a15fca24b949375495cd54375
.reloc 0x2080 0x140 0x180 4.81 dbd1d0e9043486d10e10f42bcb32ee71

( 0 imports )


( 0 exports )

TrID : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=34d44edd829476e085f5c22ac9dfe315
ssdeep: 96:XYZpF8iDwXlJ/2qcCNd1lBScqi3y/Oqgt/IrcSZU/gJ2LmRAA0nu:X4F8isXlfTScquy/UhscVIJ2KiA0nu
PEiD : -
packers (Kaspersky): PE_Patch
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=34d44edd829476e085f5c22ac9dfe315
RDS : NSRL Reference Data Set
-

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "btliajkxwvwy" deleted successfully.
File "C:\WINDOWS\system32\winsys2.exe" deleted successfully.
File "C:\WINDOWS\system32\drivers\btliajkxwvwy.sys" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinSys2" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Lad mal bitte die Datei c:\avenger\backup.zip bei file-upload.net hoch und verlink sie hier.


Anschließend bitte ein Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bei den Schritten die ich jetzt ausführen soll treten zwei Probleme auf. Und zwar beim CCleaner, wenn ich da auf "Analysieren" klicke meldet sich AntiVir mit folgendem:

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~TMA.tmp'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.aih' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Das hat er mir auch schon gestern so angezeigt.

Und zweitens: Ebenfalls CCleaner, wenn ich in der Registry nach Fehlern suche bleibt immer ein einziger Schlüssel übrig, der nicht gelöscht wird egal wie oft ich die zwei Schritte wiederhole:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}



Soll ich dennoch mit den Schritten der cofi.exe fortfahren?

AntiVir bitte deaktivieren, dann CCleaner nochmals löschen lassen.
Manche Schlüssel bleiben einfach in der Registry, halte Dich da nicht auf, mach dann mit Combofix weiter.

Ich kriege nun die Warnmeldung von cofix dass Avira AntiVir PersonalEdition Classic immer noch aktiv ist, obwohl ich den Guard DEaktiviert habe (der Regenschirm ist eingeklappt). Im cofix Tutorium wo man auf http://www.bleepingcomputer.com/forums/topic114351.html verwiesen wird, steht bei AntiVir auch nur das was ich bereits gemacht habe.

Ich bin mir nicht sicher ob ich cofix so wirklich ausführen soll, der Warnhinweis gibt mir zu Denken.

Mehr als deaktivieren kannst Du nicht. Wenn der Regenschirm eingeklappt ist, kannst Du Combofix ausführen.

So, Combofix ausgeführt, hier die Logdatei:

ComboFix 09-10-15.04 - **** 16.10.2009 12:35.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1535.1152 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LHTE.tmp
c:\programme\kernel
c:\programme\kernel\Nucleus-Kernel-ZIP-Demo.exe
c:\programme\pdfforge Toolbar\SearchSettings.dll
c:\windows\Installer\18f8b8.msi
c:\windows\system32\Data

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-16 bis 2009-10-16 ))))))))))))))))))))))))))))))
.

2009-10-14 22:18 . 2009-10-14 22:18 -------- d-----w- C:\rsit
2009-10-14 22:18 . 2009-10-14 22:18 -------- d-----w- c:\programme\trend micro
2009-10-14 19:51 . 2009-10-14 19:51 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-10-14 19:51 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-14 19:50 . 2009-10-14 19:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-14 19:50 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-14 19:49 . 2009-10-14 19:50 -------- d-----w- c:\programme\Malware Bytes
2009-10-14 19:29 . 2009-10-14 19:32 -------- d-----w- c:\programme\crapcleaner
2009-10-14 19:21 . 2009-10-14 19:21 71680 ----a-w- C:\mbr.exe
2009-10-14 16:56 . 2009-10-14 17:04 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen
2009-10-14 16:56 . 2009-10-14 17:04 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten
2009-10-14 16:56 . 2009-10-14 16:57 -------- d--h--r- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten
2009-10-14 16:56 . 2006-06-02 15:53 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Druckumgebung
2009-10-14 16:56 . 2006-06-02 15:53 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-10-14 16:56 . 2006-06-02 14:56 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-10-14 16:56 . 2009-10-14 17:10 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant
2009-10-14 16:48 . 2009-10-14 16:48 -------- d-----w- c:\windows\system32\wbem\Repository
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\IECompatCache
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-10-13 19:04 . 2009-10-13 19:04 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-09-29 22:14 . 2009-09-29 22:14 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Search Settings
2009-09-29 22:14 . 2009-09-29 22:14 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\pdfforge
2009-09-29 21:34 . 2009-10-16 10:39 -------- d-----w- c:\programme\pdfforge Toolbar
2009-09-29 21:34 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-09-29 21:33 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL
2009-09-29 21:33 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL
2009-09-29 21:33 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL
2009-09-29 21:33 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-09-29 21:31 . 2009-09-29 21:33 -------- d-----w- c:\programme\PDF Creator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-16 07:13 . 2008-10-12 10:02 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\FileZilla
2009-10-14 16:48 . 2008-12-09 15:59 -------- d-----w- c:\programme\AnitVir
2009-10-14 16:38 . 2006-07-16 19:31 -------- d-----w- c:\programme\Winamp
2009-10-09 17:43 . 2006-07-08 11:34 -------- d-----w- c:\programme\Emule
2009-09-16 14:12 . 2006-12-25 12:22 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\ConvertTemp
2009-09-16 14:09 . 2001-08-18 11:00 82776 ----a-w- c:\windows\system32\perfc007.dat
2009-09-16 14:09 . 2001-08-18 11:00 453122 ----a-w- c:\windows\system32\perfh007.dat
2009-09-11 08:58 . 2006-06-03 12:43 -------- d-----w- c:\programme\DivX
2009-09-11 08:58 . 2009-09-11 08:58 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-08 20:02 . 2009-09-08 20:02 -------- d-----w- c:\programme\Direct X
2009-09-08 19:53 . 2008-02-04 16:15 -------- d-----w- c:\programme\SystemRequirementsLab
2009-09-08 19:44 . 2008-12-17 08:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-08 19:44 . 2009-04-17 11:50 -------- d-----w- c:\programme\AGEIA Technologies
2009-09-08 19:43 . 2009-09-08 19:43 -------- d-----w- c:\programme\NVIDIA Corporation
2009-09-08 19:43 . 2009-09-08 19:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-09-08 19:40 . 2008-02-04 13:49 -------- d-----w- c:\programme\Grafikkartentreiber
2009-09-05 15:33 . 2006-06-16 17:13 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\teamspeak2
2009-08-20 12:44 . 2009-08-20 12:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-08-17 01:03 . 2009-08-17 01:03 3674112 ----a-w- c:\windows\system32\nvwssr.dll
2009-08-17 01:02 . 2009-08-17 01:02 229376 ----a-w- c:\windows\system32\nvmccs.dll
2009-08-16 22:57 . 2009-08-16 22:57 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-08-16 22:57 . 2009-08-16 22:57 1597690 ----a-w- c:\windows\system32\nvdata.bin
2009-08-16 22:57 . 2009-03-27 08:03 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
2009-08-16 22:57 . 2007-12-05 00:41 2002944 ----a-w- c:\windows\system32\nvcuda.dll
2009-08-16 22:57 . 2006-06-02 15:18 485920 ----a-w- c:\windows\system32\nvudisp.exe
2009-08-16 22:57 . 2005-10-10 19:49 868352 ----a-w- c:\windows\system32\nvapi.dll
2009-08-16 22:57 . 2005-10-10 19:49 7729568 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-08-16 22:57 . 2005-10-10 19:49 5845760 ----a-w- c:\windows\system32\nv4_disp.dll
2009-08-16 22:57 . 2005-10-10 19:49 155648 ----a-w- c:\windows\system32\nvcodins.dll
2009-08-16 22:57 . 2005-10-10 19:49 155648 ----a-w- c:\windows\system32\nvcod.dll
2009-08-16 22:57 . 2005-10-10 19:49 10457088 ----a-w- c:\windows\system32\nvoglnt.dll
2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
2009-08-11 10:35 . 2006-06-02 15:03 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-08-07 23:26 . 2009-05-15 08:03 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windows\system32\PhysXDevice.dll
2009-04-20 10:40 . 2009-04-20 10:40 3169552 ----a-w- c:\programme\DriverScanner.exe
2008-07-08 19:54 . 2008-07-09 22:33 194484158 ----a-w- c:\programme\Ashes to Ashes vs Illidan.wmv
2007-06-01 12:42 . 2007-06-01 12:42 23510720 ----a-w- c:\programme\Microsoft Networks.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-07-31 00:00 698880 ----a-w- c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-07-31 698880]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"BLASC"="c:\programme\Spiele\Blasc\BLASC.exe" [2007-05-23 1736704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 98304]
"razer"="c:\programme\Razer\razerhid.exe" [2005-05-17 147456]
"Lycosa"="c:\programme\Razer\Lycosa\razerhid.exe" [2007-11-20 147456]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-09 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-06-03 198160]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-07-29 1024512]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malware Bytes\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-07-12 81920]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-07-17 55824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
DVD@ccess.lnk - c:\programme\Apple Computer\DVD@ccess\DVDAccess.exe [2009-2-28 888832]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=c_952068.nls
"wave1"=c_952068.nls
"midi2"=c_952068.nls
"mixer1"=c_952068.nls
"wave2"=c_952068.nls
"mixer2"=c_952068.nls
"aux1"=c_952068.nls
"aux2"=c_952068.nls

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Emule\\emule.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"c:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Spiele\\SuM RotWK\\game.dat"=
"c:\\Programme\\Spiele\\SuM 2\\game.dat"=
"c:\\Programme\\Spiele\\SuM RotWK\\patchget.dat"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader
"8081:TCP"= 8081:TCP:LotRO
"5015:TCP"= 5015:TCP:LotRO
"9000:TCP"= 9000:TCP:LotRO
"2900:TCP"= 2900:TCP:LotRO
"2916:TCP"= 2916:TCP:LotRO
"2900:UDP"= 2900:UDP:LotRO
"2901:UDP"= 2901:UDP:LotRO
"2902:UDP"= 2902:UDP:LotRO
"2903:UDP"= 2903:UDP:LotRO
"2904:UDP"= 2904:UDP:LotRO
"2905:UDP"= 2905:UDP:LotRO
"2906:UDP"= 2906:UDP:LotRO
"2907:UDP"= 2907:UDP:LotRO
"2908:UDP"= 2908:UDP:LotRO
"2909:UDP"= 2909:UDP:LotRO
"5015:UDP"= 5015:UDP:LotRO
"9001:UDP"= 9001:UDP:LotRO
"9002:UDP"= 9002:UDP:LotRO
"9003:UDP"= 9003:UDP:LotRO
"9004:UDP"= 9004:UDP:LotRO
"9005:UDP"= 9005:UDP:LotRO
"9006:UDP"= 9006:UDP:LotRO
"9007:UDP"= 9007:UDP:LotRO
"9008:UDP"= 9008:UDP:LotRO
"9009:UDP"= 9009:UDP:LotRO
"9010:UDP"= 9010:UDP:LotRO
"9011:UDP"= 9011:UDP:LotRO
"9012:UDP"= 9012:UDP:LotRO
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 10:03 108289]
R2 DVDAccss;DVDAccss;c:\windows\system32\drivers\DVDAccss.sys [28.02.2009 19:15 29156]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.06.2008 17:58 222456]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [01.06.2008 14:09 21888]
S3 DTV_Capture_2X0;Digital TV Receiver;c:\windows\system32\drivers\DTV_Capture_2X0.sys [05.03.2007 12:40 18432]
S3 DTV_Loader_2X1;Digital TV Loader;c:\windows\system32\drivers\DTV_Loader_2X1.sys [05.03.2007 12:39 19328]
S3 Fadpu16E;Fadpu16E;\??\c:\dokume~1\****\LOKALE~1\Temp\Fadpu16E.sys --> c:\dokume~1\****\LOKALE~1\Temp\Fadpu16E.sys [?]
S3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [03.06.2006 20:10 13225]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
DPF: {56924A80-972E-4238-9238-8CCEE7C6FB96} - hxxp://www.****.***/files/DownloadManager.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\5oc5g1ul.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-16 12:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-448539723-412668190-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-10-16 12:41
ComboFix-quarantined-files.txt 2009-10-16 10:41

Vor Suchlauf: 16 Verzeichnis(se), 23.195.795.456 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 23.298.080.768 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

265 --- E O F --- 2007-10-10 21:19

Wollte noch eben was einwerfen, weil ich nicht weiß woher das kommt oder was man dagegen machen kann.
Und zwar ist die Internetverbindung seit dem Tag wo ich den Virus entdeckt habe und die Schritte der Beseitigung angegangen bin extrem langsam. Seitenaufbau dauert länger als gewöhnlich, ebenso wie die Latenz in Onlinespielen, die extrem hoch ist. Ich hatte vorher fast nie Probleme damit. Router hab ich bereits schon neugestartet, hat aber alles nichts gebracht.

Ist das normal, wird das besser sobald alle Schritte zur Beseitigung erledigt sind oder was kann man dagegen tun?

Lädst Du bitte noch die c:\avenger\backup.zip bei file-upload.net hoch? :confused:

Sorry, hatte ich schon gemacht, nur vergessen:

http://w*w.file-upload.net/download-1948127/backup.zip.html

Ok. Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

(beitrag doppelt, glöscht, bitte ignorieren)

ComboFix 09-10-16.01 - **** 16.10.2009 19:45.2.1 - NTFSx86
Microsoft Windows XP Professional *.*.****.*.***.**.***.**.****.**** [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

FILE ::
"c:\dokumente und einstellungen\****\lokale einstellungen\Temp\Fadpu16E.sys"
"c:\windows\system32\c_952068.nls"
"d:\NTGLM7X.sys"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FADPU16E
-------\Legacy_SETUPNTGLM7X
-------\Service_Fadpu16E
-------\Service_SetupNTGLM7X


((((((((((((((((((((((( Dateien erstellt von 2009-09-16 bis 2009-10-16 ))))))))))))))))))))))))))))))
.

2009-10-16 10:32 . 2009-10-16 10:41 -------- d-----w- C:\cofi
2009-10-14 22:18 . 2009-10-14 22:18 -------- d-----w- C:\rsit
2009-10-14 22:18 . 2009-10-14 22:18 -------- d-----w- c:\programme\trend micro
2009-10-14 19:51 . 2009-10-14 19:51 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-10-14 19:51 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-14 19:50 . 2009-10-14 19:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-14 19:50 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-14 19:49 . 2009-10-14 19:50 -------- d-----w- c:\programme\Malware Bytes
2009-10-14 19:29 . 2009-10-14 19:32 -------- d-----w- c:\programme\crapcleaner
2009-10-14 19:21 . 2009-10-14 19:21 71680 ----a-w- C:\mbr.exe
2009-10-14 16:56 . 2009-10-14 17:04 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen
2009-10-14 16:56 . 2009-10-14 17:04 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten
2009-10-14 16:56 . 2009-10-14 16:57 -------- d--h--r- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten
2009-10-14 16:56 . 2006-06-02 15:53 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Druckumgebung
2009-10-14 16:56 . 2006-06-02 15:53 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-10-14 16:56 . 2006-06-02 14:56 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-10-14 16:56 . 2009-10-14 17:10 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant
2009-10-14 16:48 . 2009-10-14 16:48 -------- d-----w- c:\windows\system32\wbem\Repository
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\IECompatCache
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-10-13 19:04 . 2009-10-13 19:04 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-09-29 22:14 . 2009-09-29 22:14 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Search Settings
2009-09-29 22:14 . 2009-09-29 22:14 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\pdfforge
2009-09-29 21:34 . 2009-10-16 10:39 -------- d-----w- c:\programme\pdfforge Toolbar
2009-09-29 21:34 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-09-29 21:33 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL
2009-09-29 21:33 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL
2009-09-29 21:33 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL
2009-09-29 21:33 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-09-29 21:31 . 2009-09-29 21:33 -------- d-----w- c:\programme\PDF Creator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-16 07:13 . 2008-10-12 10:02 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\FileZilla
2009-10-14 16:48 . 2008-12-09 15:59 -------- d-----w- c:\programme\AnitVir
2009-10-14 16:38 . 2006-07-16 19:31 -------- d-----w- c:\programme\Winamp
2009-10-09 17:43 . 2006-07-08 11:34 -------- d-----w- c:\programme\Emule
2009-09-16 14:12 . 2006-12-25 12:22 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\ConvertTemp
2009-09-16 14:09 . 2001-08-18 11:00 82776 ----a-w- c:\windows\system32\perfc007.dat
2009-09-16 14:09 . 2001-08-18 11:00 453122 ----a-w- c:\windows\system32\perfh007.dat
2009-09-11 08:58 . 2006-06-03 12:43 -------- d-----w- c:\programme\DivX
2009-09-11 08:58 . 2009-09-11 08:58 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-08 20:02 . 2009-09-08 20:02 -------- d-----w- c:\programme\Direct X
2009-09-08 19:53 . 2008-02-04 16:15 -------- d-----w- c:\programme\SystemRequirementsLab
2009-09-08 19:44 . 2008-12-17 08:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-08 19:44 . 2009-04-17 11:50 -------- d-----w- c:\programme\AGEIA Technologies
2009-09-08 19:43 . 2009-09-08 19:43 -------- d-----w- c:\programme\NVIDIA Corporation
2009-09-08 19:43 . 2009-09-08 19:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-09-08 19:40 . 2008-02-04 13:49 -------- d-----w- c:\programme\Grafikkartentreiber
2009-09-05 15:33 . 2006-06-16 17:13 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\teamspeak2
2009-08-20 12:44 . 2009-08-20 12:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-08-17 01:03 . 2009-08-17 01:03 3674112 ----a-w- c:\windows\system32\nvwssr.dll
2009-08-17 01:02 . 2009-08-17 01:02 229376 ----a-w- c:\windows\system32\nvmccs.dll
2009-08-16 22:57 . 2009-08-16 22:57 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-08-16 22:57 . 2009-08-16 22:57 1597690 ----a-w- c:\windows\system32\nvdata.bin
2009-08-16 22:57 . 2009-03-27 08:03 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
2009-08-16 22:57 . 2007-12-05 00:41 2002944 ----a-w- c:\windows\system32\nvcuda.dll
2009-08-16 22:57 . 2006-06-02 15:18 485920 ----a-w- c:\windows\system32\nvudisp.exe
2009-08-16 22:57 . 2005-10-10 19:49 868352 ----a-w- c:\windows\system32\nvapi.dll
2009-08-16 22:57 . 2005-10-10 19:49 7729568 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-08-16 22:57 . 2005-10-10 19:49 5845760 ----a-w- c:\windows\system32\nv4_disp.dll
2009-08-16 22:57 . 2005-10-10 19:49 155648 ----a-w- c:\windows\system32\nvcodins.dll
2009-08-16 22:57 . 2005-10-10 19:49 155648 ----a-w- c:\windows\system32\nvcod.dll
2009-08-16 22:57 . 2005-10-10 19:49 10457088 ----a-w- c:\windows\system32\nvoglnt.dll
2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
2009-08-11 10:35 . 2006-06-02 15:03 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-08-07 23:26 . 2009-05-15 08:03 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windows\system32\PhysXDevice.dll
2009-04-20 10:40 . 2009-04-20 10:40 3169552 ----a-w- c:\programme\DriverScanner.exe
2008-07-08 19:54 . 2008-07-09 22:33 194484158 ----a-w- c:\programme\Ashes to Ashes vs Illidan.wmv
2007-06-01 12:42 . 2007-06-01 12:42 23510720 ----a-w- c:\programme\Microsoft Networks.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-07-31 00:00 698880 ----a-w- c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-07-31 698880]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"BLASC"="c:\programme\Spiele\Blasc\BLASC.exe" [2007-05-23 1736704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 98304]
"razer"="c:\programme\Razer\razerhid.exe" [2005-05-17 147456]
"Lycosa"="c:\programme\Razer\Lycosa\razerhid.exe" [2007-11-20 147456]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-09 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-06-03 198160]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-07-29 1024512]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malware Bytes\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-07-12 81920]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-07-17 55824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
DVD@ccess.lnk - c:\programme\Apple Computer\DVD@ccess\DVDAccess.exe [2009-2-28 888832]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Emule\\emule.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"c:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Spiele\\SuM RotWK\\game.dat"=
"c:\\Programme\\Spiele\\SuM 2\\game.dat"=
"c:\\Programme\\Spiele\\SuM RotWK\\patchget.dat"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader
"8081:TCP"= 8081:TCP:LotRO
"5015:TCP"= 5015:TCP:LotRO
"9000:TCP"= 9000:TCP:LotRO
"2900:TCP"= 2900:TCP:LotRO
"2916:TCP"= 2916:TCP:LotRO
"2900:UDP"= 2900:UDP:LotRO
"2901:UDP"= 2901:UDP:LotRO
"2902:UDP"= 2902:UDP:LotRO
"2903:UDP"= 2903:UDP:LotRO
"2904:UDP"= 2904:UDP:LotRO
"2905:UDP"= 2905:UDP:LotRO
"2906:UDP"= 2906:UDP:LotRO
"2907:UDP"= 2907:UDP:LotRO
"2908:UDP"= 2908:UDP:LotRO
"2909:UDP"= 2909:UDP:LotRO
"5015:UDP"= 5015:UDP:LotRO
"9001:UDP"= 9001:UDP:LotRO
"9002:UDP"= 9002:UDP:LotRO
"9003:UDP"= 9003:UDP:LotRO
"9004:UDP"= 9004:UDP:LotRO
"9005:UDP"= 9005:UDP:LotRO
"9006:UDP"= 9006:UDP:LotRO
"9007:UDP"= 9007:UDP:LotRO
"9008:UDP"= 9008:UDP:LotRO
"9009:UDP"= 9009:UDP:LotRO
"9010:UDP"= 9010:UDP:LotRO
"9011:UDP"= 9011:UDP:LotRO
"9012:UDP"= 9012:UDP:LotRO
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 10:03 108289]
R2 DVDAccss;DVDAccss;c:\windows\system32\drivers\DVDAccss.sys [28.02.2009 19:15 29156]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.06.2008 17:58 222456]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [01.06.2008 14:09 21888]
S3 DTV_Capture_2X0;Digital TV Receiver;c:\windows\system32\drivers\DTV_Capture_2X0.sys [05.03.2007 12:40 18432]
S3 DTV_Loader_2X1;Digital TV Loader;c:\windows\system32\drivers\DTV_Loader_2X1.sys [05.03.2007 12:39 19328]
S3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [03.06.2006 20:10 13225]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
DPF: {56924A80-972E-4238-9238-8CCEE7C6FB96} - hxxp://***.****.***/files/DownloadManager.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\5oc5g1ul.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-16 19:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-448539723-412668190-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3424)
c:\programme\Microsoft Office\Office10\msohev.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Ad Aware\aawservice.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
c:\programme\Brun Progi\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Razer\Lycosa\razertra.exe
c:\programme\Razer\razerofa.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-16 19:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-16 17:57
ComboFix2.txt 2009-10-16 10:41

Vor Suchlauf: 18 Verzeichnis(se), 23.305.945.088 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 23.194.095.616 Bytes frei

281 --- E O F --- 2007-10-10 21:19

Sieht besser aus. Mach mal einen Kontrollscan:

Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

1 Fund: fraps v.2.7.4 (unlocked)_setup.exe in c:\programme\fraps\ Medium Risk Malware

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : **** ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:152 Go (Free:21 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 16.10.2009|22:38 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[18.09.2008|12:04] C:\DOKUME~1\****\ANWEND~1\Adobe
[15.06.2006|14:42] C:\DOKUME~1\****\ANWEND~1\AdobeUM
[26.08.2006|13:06] C:\DOKUME~1\****\ANWEND~1\Ahead
[22.06.2007|16:56] C:\DOKUME~1\****\ANWEND~1\Apple Computer
[03.12.2006|16:01] C:\DOKUME~1\****\ANWEND~1\Ashampoo
[16.09.2009|16:12] C:\DOKUME~1\****\ANWEND~1\ConvertTemp
[17.06.2006|22:14] C:\DOKUME~1\****\ANWEND~1\Creative
[06.07.2006|16:20] C:\DOKUME~1\****\ANWEND~1\CyberLink
[09.09.2008|11:10] C:\DOKUME~1\****\ANWEND~1\DivX
[12.11.2006|14:54] C:\DOKUME~1\****\ANWEND~1\EPSON
[16.10.2009|09:13] C:\DOKUME~1\****\ANWEND~1\FileZilla
[22.06.2007|17:25] C:\DOKUME~1\****\ANWEND~1\Help
[08.11.2008|14:37] C:\DOKUME~1\****\ANWEND~1\ICQ
[03.06.2006|17:03] C:\DOKUME~1\****\ANWEND~1\ICQLite
[02.06.2006|17:01] C:\DOKUME~1\****\ANWEND~1\Identities
[01.06.2008|14:09] C:\DOKUME~1\****\ANWEND~1\InstallShield
[18.01.2007|17:28] C:\DOKUME~1\****\ANWEND~1\InterVideo
[14.10.2009|10:16] C:\DOKUME~1\****\ANWEND~1\Macromedia
[04.12.2006|23:01] C:\DOKUME~1\****\ANWEND~1\MAGIX
[14.10.2009|21:51] C:\DOKUME~1\****\ANWEND~1\Malwarebytes
[14.03.2009|23:46] C:\DOKUME~1\****\ANWEND~1\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
[03.01.2008|18:22] C:\DOKUME~1\****\ANWEND~1\Meine Die Schlacht um Mittelerde™ II-Dateien
[21.01.2009|13:51] C:\DOKUME~1\****\ANWEND~1\Microsoft
[25.06.2009|19:51] C:\DOKUME~1\****\ANWEND~1\Mozilla
[02.06.2006|18:18] C:\DOKUME~1\****\ANWEND~1\MSN6
[30.09.2009|00:14] C:\DOKUME~1\****\ANWEND~1\pdfforge
[15.11.2007|17:00] C:\DOKUME~1\****\ANWEND~1\Publish Providers
[12.09.2009|17:15] C:\DOKUME~1\****\ANWEND~1\Real
[25.12.2006|14:22] C:\DOKUME~1\****\ANWEND~1\Samsung
[30.09.2009|00:14] C:\DOKUME~1\****\ANWEND~1\Search Settings
[15.11.2007|17:00] C:\DOKUME~1\****\ANWEND~1\Sony
[15.11.2007|16:42] C:\DOKUME~1\****\ANWEND~1\Sony Setup
[05.09.2009|17:33] C:\DOKUME~1\****\ANWEND~1\teamspeak2
[25.12.2006|14:22] C:\DOKUME~1\****\ANWEND~1\Temporary
[25.12.2006|14:22] C:\DOKUME~1\****\ANWEND~1\TransRender
[24.04.2007|15:43] C:\DOKUME~1\****\ANWEND~1\Turbine
[20.04.2009|12:43] C:\DOKUME~1\****\ANWEND~1\Uniblue
[17.09.2006|23:30] C:\DOKUME~1\****\ANWEND~1\ZangoToolbar
[0|Datei(en)] C:\DOKUME~1\****\ANWEND~1\Bytes
[40|Verzeichnis(se),] C:\DOKUME~1\****\ANWEND~1\Bytes frei

[20.04.2009|12:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{66E2F539-12B6-4870-A500-7689CDE75C5E}
[15.06.2006|14:39] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[12.02.2009|13:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[12.02.2009|13:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[03.12.2006|16:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ashampoo
[15.05.2009|10:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[15.10.2008|11:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard
[20.08.2009|14:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard Entertainment
[06.07.2006|16:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[20.04.2009|12:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DriverScanner
[11.03.2009|12:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[18.01.2007|17:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[17.12.2008|10:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
[21.01.2009|13:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\LogiShrd
[14.10.2009|21:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[15.08.2008|17:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[02.06.2006|18:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6
[08.09.2009|21:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA Corporation
[02.06.2006|17:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
[16.10.2009|20:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PrevxCSI
[01.06.2008|14:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Razer
[15.11.2007|16:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony
[19.01.2008|20:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[07.10.2006|10:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\UDL
[05.08.2006|22:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
[04.06.2006|14:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[22.06.2007|15:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WinZip
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[29|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[02.06.2006|16:58] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Adobe
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\AdobeUM
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Ahead
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Apple Computer
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Ashampoo
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\ConvertTemp
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Creative
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\CyberLink
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\DivX
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\EPSON
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\FileZilla
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Help
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQ
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQLite
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\Identities
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\InstallShield
[14.10.2009|18:56] C:\DOKUME~1\HELPAS~1\ANWEND~1\InterVideo
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Macromedia
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\MAGIX
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Meine Die Schlacht um Mittelerde™ II-Dateien
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Mozilla
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\MSN6
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\pdfforge
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Publish Providers
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Real
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Samsung
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Search Settings
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sony
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sony Setup
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\teamspeak2
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Temporary
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\TransRender
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Turbine
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\Uniblue
[14.10.2009|18:57] C:\DOKUME~1\HELPAS~1\ANWEND~1\ZangoToolbar
[0|Datei(en)] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes
[39|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes frei

[02.06.2006|17:00] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[25.04.2007|21:03] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[10.10.2009 18:59][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[16.10.2009 19:53][--ah-----] C:\WINDOWS\tasks\SA.DAT
[18.08.2001 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[22.11.2007|20:25] C:\Programme\Activision
[17.01.2009|18:25] C:\Programme\Ad Aware
[11.08.2009|20:10] C:\Programme\Adobe
[08.09.2009|21:44] C:\Programme\AGEIA Technologies
[14.10.2009|18:48] C:\Programme\AnitVir
[16.07.2007|12:10] C:\Programme\Apple
[28.02.2009|19:15] C:\Programme\Apple Computer
[12.02.2009|13:13] C:\Programme\Apple Software Update
[27.06.2006|14:59] C:\Programme\ASUS
[03.06.2009|14:08] C:\Programme\Avi Player
[15.05.2009|10:05] C:\Programme\Avira
[14.08.2007|18:08] C:\Programme\AVS DVD Player
[14.08.2007|18:08] C:\Programme\AVS4YOU
[12.02.2009|13:14] C:\Programme\Bonjour
[02.02.2008|14:17] C:\Programme\Brun Progi
[03.12.2006|16:01] C:\Programme\Burn Progi
[16.12.2008|23:41] C:\Programme\ClearProg
[03.12.2006|15:53] C:\Programme\ClonyXXL
[22.10.2006|12:18] C:\Programme\C-Media USB Sound
[24.04.2007|15:13] C:\Programme\Codemasters
[02.06.2006|16:56] C:\Programme\ComPlus Applications
[17.04.2009|13:27] C:\Programme\CPU-Z
[14.10.2009|21:32] C:\Programme\crapcleaner
[18.04.2009|13:00] C:\Programme\Creative
[18.04.2009|12:58] C:\Programme\Creative Installation Information
[08.01.2008|17:27] C:\Programme\DIFX
[08.09.2009|22:02] C:\Programme\Direct X
[05.11.2006|23:22] C:\Programme\DiskTemp
[11.09.2009|10:58] C:\Programme\DivX
[05.03.2007|12:41] C:\Programme\DTV
[09.10.2009|19:43] C:\Programme\Emule
[07.10.2006|10:49] C:\Programme\epson
[11.08.2007|23:40] C:\Programme\Everest
[07.04.2008|23:17] C:\Programme\Firefox Browser
[17.12.2008|00:15] C:\Programme\Fixwareout
[15.08.2008|19:35] C:\Programme\Foto_Manager
[26.08.2007|17:21] C:\Programme\Fraps
[26.08.2007|17:22] C:\Programme\Fraps2
[03.07.2009|12:45] C:\Programme\FTP Client
[16.10.2009|19:48] C:\Programme\Gemeinsame Dateien
[08.09.2009|21:40] C:\Programme\Grafikkartentreiber
[23.06.2008|18:14] C:\Programme\ICQ
[11.03.2009|12:31] C:\Programme\ICQ6
[11.03.2009|12:34] C:\Programme\ICQ6.5
[11.03.2009|21:51] C:\Programme\ICQ6Toolbar
[10.07.2008|01:15] C:\Programme\Illi Vid
[03.06.2009|14:08] C:\Programme\InstallShield Installation Information
[10.07.2009|17:19] C:\Programme\Internet Explorer
[11.09.2008|11:02] C:\Programme\Irfanview
[26.05.2009|19:51] C:\Programme\Logitech
[27.08.2006|19:31] C:\Programme\Macromedia
[13.01.2008|12:44] C:\Programme\Magix
[05.11.2006|19:13] C:\Programme\MAGIX Online Druck Service
[26.03.2007|17:15] C:\Programme\Mahoo
[20.04.2009|13:05] C:\Programme\Mainboardtreiber
[14.10.2009|21:50] C:\Programme\Malware Bytes
[04.06.2006|14:11] C:\Programme\Messenger
[02.06.2006|16:58] C:\Programme\microsoft frontpage
[03.10.2006|14:39] C:\Programme\Microsoft Office
[04.06.2006|13:02] C:\Programme\Movie Maker
[13.10.2009|20:49] C:\Programme\Mozilla Firefox
[15.11.2007|16:50] C:\Programme\MSBuild
[02.06.2006|16:56] C:\Programme\MSN
[02.06.2006|16:56] C:\Programme\MSN Gaming Zone
[07.12.2006|00:53] C:\Programme\MSN Messenger
[19.11.2006|01:59] C:\Programme\MSXML 4.0
[05.11.2006|19:14] C:\Programme\Music_Manager
[04.08.2008|22:19] C:\Programme\Namen Generator
[22.09.2006|20:14] C:\Programme\Nero
[04.06.2006|13:01] C:\Programme\NetMeeting
[20.04.2009|13:06] C:\Programme\Netzwerkkartentreiber
[08.09.2009|21:43] C:\Programme\NVIDIA Corporation
[02.06.2006|16:56] C:\Programme\Online Services
[02.06.2006|16:57] C:\Programme\Online-Dienste
[13.06.2007|23:54] C:\Programme\Outlook Express
[17.12.2008|09:54] C:\Programme\Panda AntiRootKit
[29.09.2009|23:33] C:\Programme\PDF Creator
[16.10.2009|12:39] C:\Programme\pdfforge Toolbar
[26.03.2007|17:18] C:\Programme\Power DVD
[16.10.2009|20:12] C:\Programme\Prevx
[05.02.2008|12:42] C:\Programme\Prime95
[12.02.2009|13:14] C:\Programme\QuickTime
[01.06.2008|14:09] C:\Programme\Razer
[01.01.2007|17:57] C:\Programme\Real
[03.06.2009|14:04] C:\Programme\Real Player
[02.06.2006|17:07] C:\Programme\Realtek AC97
[15.11.2007|16:46] C:\Programme\Reference Assemblies
[25.12.2006|13:59] C:\Programme\Samsung
[07.02.2007|15:47] C:\Programme\Schriftarten
[15.11.2007|16:42] C:\Programme\Sony Vegas
[20.04.2009|13:25] C:\Programme\Soundtreiber
[26.02.2009|14:31] C:\Programme\Spiele
[22.06.2007|16:53] C:\Programme\Stellar
[08.09.2009|21:53] C:\Programme\SystemRequirementsLab
[22.07.2006|14:30] C:\Programme\Teamspeak
[15.10.2009|00:18] C:\Programme\trend micro
[22.07.2006|14:31] C:\Programme\TSO
[11.08.2006|20:34] C:\Programme\Ulead Gif Animator 5
[20.04.2009|12:43] C:\Programme\Uniblue
[02.06.2006|17:01] C:\Programme\Uninstall Information
[11.08.2007|23:48] C:\Programme\USB Treiber
[15.11.2007|16:55] C:\Programme\Vegas Pro 8.0
[15.11.2007|16:41] C:\Programme\Virtual Dub
[15.11.2007|16:55] C:\Programme\Vstplugins
[26.03.2007|17:28] C:\Programme\Win DVD
[16.10.2009|21:59] C:\Programme\Winamp
[10.09.2008|20:38] C:\Programme\Windows Media Connect 2
[12.09.2008|11:42] C:\Programme\Windows Media Player
[08.09.2008|18:18] C:\Programme\Windows Media Player 9
[04.06.2006|13:01] C:\Programme\Windows NT
[20.05.2008|16:51] C:\Programme\Windows XP Professional SP2
[02.06.2006|23:49] C:\Programme\WindowsUpdate
[22.06.2007|17:25] C:\Programme\WinRar
[16.07.2007|12:14] C:\Programme\WinZip
[02.06.2006|16:58] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[117|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[01.06.2007|14:39] C:\Programme\Gemeinsame Dateien\Adobe
[03.12.2006|15:49] C:\Programme\Gemeinsame Dateien\Ahead
[12.02.2009|13:19] C:\Programme\Gemeinsame Dateien\Apple
[14.08.2007|18:08] C:\Programme\Gemeinsame Dateien\AVSMedia
[26.02.2009|14:31] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[18.04.2009|12:58] C:\Programme\Gemeinsame Dateien\Creative
[03.10.2006|14:40] C:\Programme\Gemeinsame Dateien\Designer
[02.06.2006|16:56] C:\Programme\Gemeinsame Dateien\Dienste
[11.09.2009|10:58] C:\Programme\Gemeinsame Dateien\DivX Shared
[03.06.2009|14:08] C:\Programme\Gemeinsame Dateien\Hypnotizer
[07.10.2006|10:51] C:\Programme\Gemeinsame Dateien\InstallShield
[21.01.2009|13:51] C:\Programme\Gemeinsame Dateien\Logishrd
[05.11.2006|19:12] C:\Programme\Gemeinsame Dateien\MAGIX Shared
[15.11.2007|16:53] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[02.06.2006|16:56] C:\Programme\Gemeinsame Dateien\MSSoap
[02.06.2006|17:53] C:\Programme\Gemeinsame Dateien\ODBC
[03.06.2009|14:06] C:\Programme\Gemeinsame Dateien\Real
[02.06.2006|17:53] C:\Programme\Gemeinsame Dateien\SpeechEngines
[13.06.2007|23:54] C:\Programme\Gemeinsame Dateien\System
[18.01.2007|17:22] C:\Programme\Gemeinsame Dateien\Ulead
[27.08.2006|19:24] C:\Programme\Gemeinsame Dateien\Vbox
[08.09.2009|21:44] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[03.06.2009|14:06] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[25|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 53 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-16 22:39:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:2][D:0]-> C:\DOKUME~1\****\LOKALE~1\Temp
[F:107][D:0]-> C:\DOKUME~1\****\Cookies
[F:1597][D:4]-> C:\DOKUME~1\****\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 16.10.2009|22:39 - Option : [1]

--------------------\\ Scan beendet um 22:39:52

Es sieht aber mächtig danach, als wäre diese Datei aus der Warez-Szene. :mad:

Lass Dir das gesagt sein:
Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Nein, dieses "fraps" ist ein Programm mit dem man in Spielen, beispielsweise wow, Filmchen machen kann, und das hab ich von wow.curse.com. Die Seite ist eigentlich seriös und bietet nur Addons für eben dieses Spiel an, ich hätte aber nie gedacht dass deren Dateien mit irgendwas verseucht sein könnten. Der Dreck kommt direkt runter.

Kann ich noch mit Support rechnen sodass ich um ein Neuaufsetzen des Systems herumkomme? Ich hab nun draus gelernt dass ich lieber auf irgendwelche Spiele Addons verzichte als nochmal sowas zu haben, aber wie gesagt, das Programm ist in keinsterweise ein Crack, Keygen oder was auch immer, das nutzen fast alle wow Spieler als ganz normales Addon, deswegen bin ich gerade ziemlich überrascht über die Reaktion @ cosinus.

Das ist nur mein "Standardtext" wenn ich sehe, dass Leute gecrackte Software benutzen. Es kann natürlich sein, dass Du das Teil aus einer legalen Quelle hast, aber eine Suche nach "fraps v.2.7.4 (unlocked)" führ zu einschlägigen torrent-Links. :rolleyes:

Ja ok, aber ich kanns nur noch mal wiederholen, das fraps bei mir war das Filmaufnahmeprogramm in Spielen das ich von oben genannter Seite hatte.

Nur zum Verständnis für mich: War diese fraps.exe jetzt der Virus an sich oder kann es sein dass sich irgendein anderer Virus in eben diese Datei eingenistet hat und sie damit auch verseucht hat?

Ist die Suche und Löschung nach den Übeltätern bei mir denn jetzt beendet und bleibt nur noch das Neuaufsetzen oder kommen da noch andere Schritte?

Möglich wärs :rolleyes: ich kenn die Seite, von der Du das hast nicht und es wäre auch denkbar, dass die sich auch nicht im ganz rechtlich einwandfreien bereich bewegen und dort Warez verteilen. Das Programm Fraps ist normalerweise kostenpflichtig.

Die Vollversion ist kostenpflichtig, richtig. Es gibt aber auch eine Freeversion wo man das Firmenzeichen rechts oben in der Ecke hat beim Filmen und mit einer max Filmdauer von 30 Sekunden aufnehmen kann. Ich weiß auch nicht mehr was das für eine Version war, da ich das nie wirklich benutzt habe, es lag nur auf der Festplatte und hat genug Mist angerichtet.

=) (unlockt) wird wohl bedeuten, dass das nicht die Free Version war. Ob du das wusstest oder nicht: strafbar ist es trotzdem.
Wir sind hier keine Korinthenkacker aber wer sowas ausführt ist selber Schuld. Außerdem ist der Rechner nach sowas so oder so hoffnungslos verseucht. Eine Bereinigung ist nur sehr bedingt sinnvoll. Daher rät dir cosinus den Rechner neu zu machen.
Auch ich denke, dass das die einzig sinnvolle Methode ist.

Ja, muss euch da Recht geben. Selbst Schuld, selber ausbügeln, hab wenigstens draus gelernt... :(
Format C und hoffentlich nie wieder so nen Scheiß.

Danke für den Support.