Trojaner-Board - trojandownload 47256 und weitere Plagegeister /rundll32.exe, userinit.exe, vssvcc.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - trojandownload 47256 und weitere Plagegeister /rundll32.exe, userinit.exe, vssvcc.exe (https://www.trojaner-board.de/81274-trojandownload-47256-plagegeister-rundll32-exe-userinit-exe-vssvcc-exe.html)

trojandownload 47256 und weitere Plagegeister /rundll32.exe, userinit.exe, vssvcc.exe

Hallo zusammen,

ich habe mir wohl einen oder mehrere Plagegeister eingefangen, vielleicht kann mir jemand ein paar Tipps geben, wie ich sie wieder loswerde? Wäre super lieb.

Kurzform:
- vssvcc.exe, userinit.exe und rundll32.exe können vom System nichtmehr gefunden werden
- Virenscanner meldet im späteren Verlauf mehrere Plagegeister (darunter trojandownload 47256), aber wird sofort wieder ausgeblendet, so dass weder ein Lesen der Liste noch sonst eine Aktion möglich ist
- Kein Programm kann mehr gestartet werden, nur der Dateiexplorer

Hier der gesamte Verlauf detailliert in chronologischer Reihenfolge und was ich bisher probiert habe:
1. erste Symptome: IE Explorer und Firefox schließen sich beim Surfen automatisch in unregelmäßigen Abständen
2. Da Virenscanner nicht anschlug wurden erstmal Cookies, tmps etc. also die üblichen Verdächtigen gelöscht
3. Rechner runter- und wieder hochgefahren. Noch vor der Useranmeldung Fehlermeldung, dass vssvcc.exe nicht gefunden werden kann. Nach der Anmeldung Fehlermeldung, dass userinit.exe nicht gefunden werden kann, anschließend mehrfach die Meldung, dass rundll32.exe nicht gefunden werden kann. Für den Bruchteil einer Sekunde blendet sich das Fenster meines Virenscanners Antivir ein, konnte leider nur die erste Zeile lesen mit dem Hinweis auf trojandownload 47256 (Massenmailversender, der kann also vermutlich nicht der Grund für den Rest der Probleme sein?), es werden allerdings mehrere angezeigt.
Danach blendet sich sofort ein abgeändertes Fenster meines Virenscanners darüber mit kryptischen Zeichen, das Fenster heisst "eKAV Antivir" und zeigt einen Countdown von 2:40:13 runterzählend an. Dieses Fenster kann nicht geschlossen werden und ist permanent im Vordergrund, verändert sein Aussehen aber, sobald man den Dateiexplorer öffnet. Dann verschwindet der Countown und es bleiben kryptische Zeilen, ein Eingabefeld und ein Button daneben.
4. Auswirkung: Kein Programm kann mehr gestartet werden, nicht einmal der Taskmanager, ausschließlich Dateiexplorer funktioniert, hängt sich allerdings schnell auf. Also kann ich auch meinen Virenscanner und Systemtools nicht einsetzen.
5. Versuch der Systemwiederherstellung funktioniert nicht, Fehlermeldung, dass Systemwiederherstellung aufgrund einer Gruppenrichtlinie deaktiviert wurde. Einloggen als Admin nichtmehr möglich. Starten im abgesicherten Modus ist ebenfalls nicht möglich.
6. Da ich zu dem oben genannten Trojaner zwar massig Einträge gefunden habe, dass es ihn gibt, aber nicht, wie man ihn beseitigt, habe ich mich auf die drei Exes fokussiert. In verschiedenen Einträgen habe ich den Hinweis gefunden, dass die rundll32.exe gerne von Trojanern verändert wird. Dateisuche ergab, dass ich 3 Stück hiervon auf der Platte habe, eine der drei aus dem Servicepack. Ich habe nach Anleitung versucht, diese Datei, die intakt sein könnte, über die im system32- Ordner drüberzuschreiben. Hierbei kommt eine Fehlermeldung, dass die Ausgangsdatei nicht kopiert werden kann, da sie von einem anderen User oder Programm verwendet wird. Die selbe Datei lässt sich aber problemlos in andere x-beliebige Ordner kopieren, eben nur nicht in den system32-Ordner.

Habt ihr mir noch einen Tipp, was ich noch machen kann? Durch die Tatsache, dass kein Programm gestartet werden kann sieht es in meinen Augen ziemlich mau aus, allerdings bin ich auch ein richtiger Noob:heulen:

Ganz vielen lieben Dank im Voraus!
Andrea

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Huhu Arne,

ich hätte die drei Programme ja gerne laufen und die Logs auswerfen lassen, aber wie gesagt kann ich kein einziges Programm mehr starten.:balla:

Also auch in diesem Fall: Ich kann die Datei problemlos installieren (habe sie über einen Stick draufgezogen, da selbst IE und Firefox nichtmehr aufrufbar sind), aber beim Aufrufen des Programms erhalte ich wieder nur die Meldung, dass rundll32.exe nicht aufgefunden werden kann.

Daher hatte ich mich ja zuerst daran versucht, die rundll32.exe wieder herzustellen wie unten beschrieben, was allerdings erfolglos war. Gibt es noch irgendwas, was ich selbst versuchen kann?

LG
Andrea

Hm schade, vllt hätte ich etwas genauer lesen sollen, dass nur noch der Dateimanager startet :D
Ich hätte da ne Idee mit der Wiederherstellungskonsole oder einer Linux-Live-CD. Hast Du eine Windows-CD (ganz normale Setup-CD) parat?

ja, hab ne Installations-CD. Wir haben es jetzt eben geschafft, in den abgesicherten Modus zu kommen über eine Boot-CD und haben jetzt zumindestens den Namen des Schätzchens:
siszyd32.exe, er hat es sich schön im Autostartmenü bequem gemacht.
Melde mich nachher gleich nochmal, versuche jetzt folgendes:

h**p://www.virusremovalguru.com/?p=4914&lang=de

Kannst Du im abgesicherten Modus die Programme ausführen?

nein, leider nicht. er hat es einmal zugelassen und danach nichtmehr.
wir konnten über die boot-CD die rundll32.exe ersetzen, danach ging es im abgesicherten Modus einmal ein Programm auszuführen, danach nichtmehr.

der eingeschobene stick wurde übrigens auch direkt infiziert. übertragungsdatei ist auch die rundll32.exe selber.

Edit:

habe jetzt malwarebytes ans laufen bekommen. nach einigem zicken lässt er es dann doch zu, das programm zu starten. die ganzen fehlermeldungen scheinen mir auch hauptsächlich fakes zu sein. werde anschließend FreeFixer versuchen, die haben anscheinend ein extra leckerli für siszyd32.exe im dezember noch kurz vor weihnachten eingebaut. werde dann das ergebnis mitteilen.

Dann könnt ihr eigentlich nur noch mit ner Rescue-CD wie Knoppicillin rangehen (müsste auch was von Kaspersky und/oder AntiVir geben) und hoffen, dass das System wieder bootet. Aus dem laufenden System hraus geht ja nix mehr.

Ich denke einfacher wirds daher sein, einfach eine Neuinstallation zu machen. Daten kannst Du noch über eine Live-CD retten.

Hallo,

nach einer Nachtschicht gestern und noch einer kleinen Session heute scheint das Problem gefixt zu sein. Ich füge unten die aktuellen Logs ein, wäre super lieb, wenn einer von Euch Cracks da nochmal rübergucken könnte, ob Ihr da noch was Verdächtiges findet.

Vielen lieben Dank nochmal für die tolle Hilfsbereitschaft!!!:dankeschoen:

Hier nochmal, was wir gemacht haben gegen den Plagegeist (bitte habt Nachsicht, einige Punkte sind aus Euren Augen bestimmt absolut sinnfrei, es ist halt das Vorgehen von zwei Noobs) aber vielleicht kann es nochmal jemandem helfen, der sich das gleiche einfängt:
1.Wir konnten ja irgendwann in den abgesicherten Modus reinkommen (keine bestimmte Taktik, einfach immer wieder probiert) und dort gelang es uns dann, Malwarebytes zu installieren.
2.Malwarebytes konnte aber weder im abgesicherten noch im normalen Modus gestartet werden, da immer wieder die rundll32 Meldung auftauchte.

siszyd32.exe im Autostartmenü gelöscht (Weg über den Browser schließt diesen, sobald man in das Autostartmenü gelangen will, daher direkt unter „Start/Autostart“ gelöscht
TEMP-Dateien und Prefetch-Dateien gelöscht (hier viele rundll32-Einträge)
In der Registry wurden einige rundll32.exes gefunden, die dort nicht hingehören -> deaktiviert
es blieben 4 DAT- und DLL- Dateien übrig, die nicht gelöscht werden konnten (wird von einem anderen Programm oder User verwendet) 3 davon konnten umbenannt und anschließend gelöscht werden
nun ließ sich Malwarebytes starten, allerdings kein anderes System- oder Virenprogramm
Malwarebytes fand 8 infizierte Dateien, nach jedem Neustart immer wieder 3 neue. Eine dieser 3 (Eintrag in der Registry) kann Malwarebytes nur beim Neustart entfernen, bei jedem Neustart haben sich aber dann wieder alle 3 Freunde neu installiert. Gleichen Prozess nochmal wiederholt, allerdings ohne Neustart des Systems (so dass also noch der Freund in der Registry vorhanden war)
Freefixer liess sich jetzt installieren und fand zusätzliche DLLs und DAT-Dateien sowie weitere Exemplare des siszyd32.exe und der rundll32.exe. Alle gelöscht.
Da jetzt alles wieder an Programmen lief, RSIT installiert, im Protokoll weitere DLLs unter den zuletzt installierten Dateien gefunden und ebenfalls gelöscht.

Log von Malwarebytes:
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.01.2010 16:19:18
mbam-log-2010-01-06 (16-19-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 325363
Laufzeit: 1 hour(s), 16 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Log von RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by HS at 2010-01-06 16:25:32
Microsoft Windows XP Professional Service Pack 3
System drive C: has 109 GB (48%) free of 228 GB
Total RAM: 1022 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:44, on 06.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\TwonkyMedia\TwonkyMedia.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\vssvc.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TwonkyMedia\TwonkyMediaServer.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\HS.MISTSTUECK\Desktop\RSIT.exe
C:\Programme\trend micro\HS.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.3:1060
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>;*.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe"
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1252183621718
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1252183589328
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://87.139.10.167/Remote/msrdp.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\TwonkyMedia\TwonkyMedia.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe

--
End of file - 10873 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll [2007-07-12 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar3.dll [2007-01-19 2403392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-07-25 325048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar3.dll [2007-01-19 2403392]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"=C:\Programme\avmwlanstick\wlangui.exe [2005-10-18 1560576]
"VTTimer"=C:\WINDOWS\system32\VTTimer.exe [2005-03-08 53248]
"VTTrayp"=C:\WINDOWS\system32\VTtrayp.exe [2005-11-01 163840]
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]
"PDF Converter Registry Controller"=C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe [2004-08-18 98304]
"SW20"=C:\WINDOWS\system32\sw20.exe [2006-06-01 208896]
"SW24"=C:\WINDOWS\system32\sw24.exe [2006-06-01 69632]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-03-01 577536]
"nwiz"=nwiz.exe /install []
"PinnacleDriverCheck"=C:\WINDOWS\system32\\PSDrvCheck.exe [2004-03-11 406016]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"LiveMonitor"=C:\Programme\MSI\Live Update 3\LMonitor.exe [2009-02-24 498688]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-09-05 417792]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-09-21 305440]
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2008-04-14 172544]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-12-30 1389904]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

C:\Dokumente und Einstellungen\HS.MISTSTUECK\Startmenü\Programme\Autostart
Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\WINDOWS\TEMP\scpwj.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe"="C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"
"C:\Programme\Home Cinema\PowerCinema\PCMService.exe"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Programme\Pinnacle\Studio 10\programs\RM.exe"="C:\Programme\Pinnacle\Studio 10\programs\RM.exe:*:Enabled:Render Manager"
"C:\Programme\Pinnacle\Studio 10\programs\Studio.exe"="C:\Programme\Pinnacle\Studio 10\programs\Studio.exe:*:Enabled:Studio"
"C:\Programme\Pinnacle\Studio 10\programs\PMSRegisterFile.exe"="C:\Programme\Pinnacle\Studio 10\programs\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\Programme\Pinnacle\Studio 10\programs\umi.exe"="C:\Programme\Pinnacle\Studio 10\programs\umi.exe:*:Enabled:umi"
"C:\WINDOWS\system32\usmt\migwiz.exe"="C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Media Player\wmplayer.exe"="C:\Programme\Windows Media Player\wmplayer.exe:*:Enabled:wmplayer.exe"
"C:\Programme\Nero\Nero 7\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Nero\Nero 7\Nero MediaHome\NeroMediaHome.exe:*:Enabled:Nero MediaHome Essentials"
"C:\Programme\devolo\informer\devinf.exe"="C:\Programme\devolo\informer\devinf.exe:*:Enabled:devolo Informer"
"C:\Programme\devolo\easyshare\easyshare.exe"="C:\Programme\devolo\easyshare\easyshare.exe:*:Enabled:devolo EasyShare"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\Programme\TwonkyMedia\TwonkyMediaServer.exe"="C:\Programme\TwonkyMedia\TwonkyMediaServer.exe:*:Enabled:TwonkyMediaServer"
"C:\Programme\TwonkyMedia\TwonkyMedia.exe"="C:\Programme\TwonkyMedia\TwonkyMedia.exe:*:Enabled:TwonkyMedia"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======File associations======

.scr - open - "C:\WINDOWS\system32\notepad.exe" "%1"
.scr - install -
.scr - config -

======List of files/folders created in the last 1 months======

2010-01-06 13:14:21 ----D---- C:\rsit
2010-01-06 13:14:21 ----D---- C:\Programme\trend micro
2010-01-06 12:59:51 ----A---- C:\WINDOWS\system32\rxdewmdfi.dll
2010-01-06 12:58:33 ----A---- C:\WINDOWS\system32\ffnd.exe
2010-01-06 12:46:26 ----D---- C:\Dokumente und Einstellungen\HS.MISTSTUECK\Anwendungsdaten\FreeFixer
2010-01-06 00:50:38 ----HD---- C:\WINDOWS\PIF
2010-01-06 00:40:26 ----D---- C:\WINDOWS\pss
2010-01-06 00:11:16 ----D---- C:\Programme\FreeFixer
2010-01-05 22:41:43 ----D---- C:\Dokumente und Einstellungen\HS.MISTSTUECK\Anwendungsdaten\Malwarebytes
2010-01-05 22:40:06 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-05 22:40:06 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-01-05 22:37:31 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-12-21 12:46:00 ----HDC---- C:\WINDOWS\$NtUninstallKB961503$
2009-12-20 19:24:32 ----D---- C:\Programme\Microsoft
2009-12-20 19:24:03 ----D---- C:\Programme\Windows Live SkyDrive
2009-12-20 19:23:36 ----D---- C:\Programme\Windows Live
2009-12-20 19:18:52 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live
2009-12-13 03:05:52 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2009-12-13 03:05:24 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2009-12-13 03:03:50 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-13 03:03:42 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2009-12-13 03:03:06 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$

======List of files/folders modified in the last 1 months======

2010-01-06 16:21:40 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2010-01-06 16:21:40 ----D---- C:\WINDOWS\system32\drivers
2010-01-06 15:05:38 ----D---- C:\WINDOWS\Temp
2010-01-06 14:00:16 ----D---- C:\WINDOWS\Prefetch
2010-01-06 13:20:06 ----D---- C:\WINDOWS\system32
2010-01-06 13:16:21 ----D---- C:\WINDOWS
2010-01-06 13:14:21 ----RD---- C:\Programme
2010-01-06 13:12:38 ----D---- C:\WINDOWS\Debug
2010-01-06 13:06:10 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-06 13:03:50 ----D---- C:\WINDOWS\system32\ias
2010-01-06 13:03:44 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-06 13:02:09 ----D---- C:\Dokumente und Einstellungen\HS.MISTSTUECK\Anwendungsdaten\TwonkyMedia
2010-01-06 13:01:30 ----D---- C:\WINDOWS\Registration
2010-01-06 13:00:13 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2010-01-06 12:43:11 ----D---- C:\Dokumente und Einstellungen
2010-01-06 12:43:06 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-06 12:10:53 ----RASH---- C:\boot.ini
2010-01-06 12:10:53 ----A---- C:\WINDOWS\win.ini
2010-01-06 12:10:53 ----A---- C:\WINDOWS\system.ini
2010-01-06 01:30:56 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2010-01-06 01:21:59 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-06 01:11:32 ----D---- C:\WINDOWS\Help
2010-01-06 00:08:27 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2010-01-05 21:29:13 ----D---- C:\Programme\CCleaner
2010-01-05 21:25:44 ----HD---- C:\WINDOWS\inf
2010-01-04 21:22:52 ----SHD---- C:\System Volume Information
2010-01-04 21:22:52 ----D---- C:\WINDOWS\system32\Restore
2010-01-04 20:11:59 ----D---- C:\Programme\Mozilla Firefox
2009-12-21 19:18:34 ----D---- C:\WINDOWS\system32\wbem
2009-12-21 08:41:11 ----HD---- C:\WINDOWS\$hf_mig$
2009-12-21 03:01:07 ----SHD---- C:\WINDOWS\Installer
2009-12-20 19:26:23 ----SD---- C:\Dokumente und Einstellungen\HS.MISTSTUECK\Anwendungsdaten\Microsoft
2009-12-20 19:24:46 ----D---- C:\WINDOWS\WinSxS
2009-12-20 19:24:12 ----SD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft
2009-12-20 19:24:12 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-12-20 19:23:42 ----RSD---- C:\WINDOWS\Fonts
2009-12-20 19:18:52 ----D---- C:\Programme\Gemeinsame Dateien
2009-12-13 03:04:13 ----D---- C:\Programme\Internet Explorer
2009-12-13 03:04:06 ----D---- C:\WINDOWS\ie8updates

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2006-04-25 29568]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2006-04-25 33664]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []
R1 SSHDRV57;SSHDRV57; \??\C:\WINDOWS\system32\drivers\SSHDRV57.sys []
R1 SSHDRV86;SSHDRV86; \??\C:\WINDOWS\system32\drivers\SSHDRV86.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 vmm;Virtual Machine Monitor; \??\C:\WINDOWS\system32\drivers\vmm.sys []
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 PfModNT;PfModNT; \??\C:\WINDOWS\system32\drivers\PfModNT.sys []
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver; C:\WINDOWS\system32\plcndis5.sys [2004-05-17 17280]
R3 3xHybrid;Philips SAA713x PCI Card; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 882688]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-04-21 3964352]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ASAPIW2K;ASAPIW2K; C:\WINDOWS\System32\Drivers\ASAPIW2K.sys [2005-02-23 11264]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-05-18 26600]
R3 MarvinBus;Pinnacle Marvin Bus; C:\WINDOWS\system32\DRIVERS\MarvinBus.sys [2005-07-13 171008]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
R3 Pei10Wdm;PEI10 Protokoll Treiber; C:\WINDOWS\System32\Drivers\Pei10Wdm.sys [2002-08-15 35547]
R3 Pei16Wdm;PEI16 Protokoll Treiber; C:\WINDOWS\System32\Drivers\Pei16Wdm.sys [2002-09-19 34683]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 VPCNetS2;Virtual Machine Network Services Driver; C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys [2004-03-05 45056]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2006-04-25 102144]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 61883;61883-Einheitsgerät; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Avc;AVC-Gerät; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 Bridge;MAC-Brücke; C:\WINDOWS\system32\DRIVERS\bridge.sys [2008-04-13 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\system32\DRIVERS\bridge.sys [2008-04-13 71552]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\System32\DRIVERS\fwlanusb.sys [2005-10-18 264704]
S3 GMSIPCI;GMSIPCI; \??\H:\INSTALL\GMSIPCI.SYS []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\System32\PCANDIS5.SYS []
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PLCMPR5.SYS []
S3 Pronto2G;Philips Pronto NG USB Driver; C:\WINDOWS\System32\Drivers\PRONTO2G.sys [2003-09-19 16384]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 TNET1130;D-Link AirPlus XtremeG+ Wireless Adapter; C:\WINDOWS\System32\DRIVERS\GPlus.sys [2003-08-13 202496]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 viagfx;viagfx; C:\WINDOWS\System32\DRIVERS\vtmini.sys [2006-02-09 248704]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920]
R2 AVM WLAN Connection Service;AVM WLAN Connection Service; C:\Programme\avmwlanstick\WlanNetService.exe [2005-10-18 379812]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2006-05-05 266338]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTSvcCDA.EXE [1999-12-13 44032]
R2 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-11-21 315392]
R2 Iprip;RIP-Überwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 LPDSVC;TCP/IP-Druckserver; C:\WINDOWS\System32\tcpsvcs.exe [2002-08-29 19456]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
R2 PinnacleSys.MediaServer;Pinnacle Systems Media Service; c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe [2006-01-19 49152]
R2 SimpTcp;Einfache TCP/IP-Dienste; C:\WINDOWS\System32\tcpsvcs.exe [2002-08-29 19456]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2009-09-06 604488]
R2 TwonkyMedia;TwonkyMedia; C:\Programme\TwonkyMedia\TwonkyMedia.exe [2008-02-12 106496]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-09-21 545568]
R3 MSSQL$PINNACLESYS;MSSQL$PINNACLESYS; C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe [2008-12-18 9158656]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe [2007-09-23 77944]
S3 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2006-05-05 118880]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-03-01 654848]
S3 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-05 138168]
S3 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2006-04-25 793088]
S3 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-04-24 73728]
S3 MSSQL$PP40;MSSQL$PP40; C:\Programme\Microsoft SQL Server\MSSQL$PP40\Binn\sqlservr.exe [2002-12-17 7520337]
S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2005-05-03 73728]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-05-05 167936]
S3 SNMP;SNMP-Dienst; C:\WINDOWS\System32\snmp.exe [2008-04-14 33280]
S3 SNMPTRAP;SNMP-Trap-Dienst; C:\WINDOWS\System32\snmptrap.exe [2008-04-14 8704]
S3 SQLAgent$PINNACLESYS;SQLAgent$PINNACLESYS; C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE [2005-05-03 323584]
S3 SQLAgent$PP40;SQLAgent$PP40; C:\Programme\Microsoft SQL Server\MSSQL$PP40\Binn\sqlagent.EXE [2002-12-17 311872]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2009-09-06 361288]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe [2004-11-09 118272]
S3 WMDM PMSP Service;WMDM PMSP Service; C:\WINDOWS\system32\MsPMSPSv.exe [2000-06-26 53520]
S3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe [2001-11-12 20480]
S4 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe [2006-05-05 1073152]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------

Sehr schön, Hartnäckigkeit zahlt sich manchmal aus :D

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLS
 

files to delete:

C:\WINDOWS\TEMP\scpwj.dll

C:\WINDOWS\system32\rxdewmdfi.dll

C:\WINDOWS\system32\ffnd.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Cheers Arne,

sieht so aus, als ob 1 davon in der Zwischenzeit bereinigt wurde, die anderen hat er eliminiert::taenzer:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\TEMP\scpwj.dll" not found!
Deletion of file "C:\WINDOWS\TEMP\scpwj.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\rxdewmdfi.dll" deleted successfully.
File "C:\WINDOWS\system32\ffnd.exe" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Sehr schön, dann probier jetzt mal CF aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Problem bei CCleaner:
1 Punkt in der Registry kann er nicht löschen, egal wie oft ich die Analyse und die Fehlerbehebung hintereinander laufen lasse:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Vernachlässigen und mit ComboFix weitermachen?

der Registry-Schlüssel gehört wohl zu AntiVir wie in deren Forum geschrieben wird und lässt sich nicht löschen (vgl. h**p://forum.avira.com/wbb/index.php?page=Thread&threadID=87283), mache also weiter...

Ja, so ist es :D
Wer googlen kann ist klar im Vorteil :blabla:

*schmunzel* ich kann ja so vieles nicht, aber wenigstens googeln und das kompensiert heute ja so einiges :teufel3:

so, hier ist er: :rolleyes:

ComboFix 10-01-04.01 - HS 06.01.2010 22:07:18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.599 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HS.MISTSTUECK\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {85A28D34-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85AF67F4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85DC693C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {862ABB74-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {86324CA4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {864CB2DC-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8654FB7C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {86638DB4-FFA4-00DE-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\EventSystem.log
c:\windows\system32\Ijl11.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip

((((((((((((((((((((((( Dateien erstellt von 2009-12-06 bis 2010-01-06 ))))))))))))))))))))))))))))))
.

2010-01-06 12:14 . 2010-01-06 15:25 -------- d-----w- c:\programme\trend micro
2010-01-06 12:14 . 2010-01-06 12:14 -------- d-----w- C:\rsit
2010-01-06 11:46 . 2010-01-06 12:12 -------- d-----w- c:\dokumente und einstellungen\HS.MISTSTUECK\Anwendungsdaten\FreeFixer
2010-01-06 11:46 . 2010-01-06 11:46 -------- d-----w- c:\dokumente und einstellungen\HS.MISTSTUECK\Lokale Einstellungen\Anwendungsdaten\FreeFixer
2010-01-05 23:50 . 2010-01-05 23:50 -------- d--h--w- c:\windows\PIF
2010-01-05 23:11 . 2010-01-06 11:46 -------- d-----w- c:\programme\FreeFixer
2010-01-05 21:41 . 2010-01-05 21:41 -------- d-----w- c:\dokumente und einstellungen\HS.MISTSTUECK\Anwendungsdaten\Malwarebytes
2010-01-05 21:40 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-05 21:40 . 2010-01-05 21:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-05 21:40 . 2010-01-05 21:40 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-01-03 12:35 . 2010-01-06 21:21 763904 ----a-w- c:\windows\system32\drivers\gxikoq.sys
2009-12-20 18:26 . 2010-01-06 21:21 -------- d-----w- c:\dokumente und einstellungen\HS.MISTSTUECK\Tracing
2009-12-20 18:24 . 2009-12-20 18:24 -------- d-----w- c:\programme\Microsoft
2009-12-20 18:24 . 2009-12-20 18:24 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-12-20 18:23 . 2009-12-20 18:24 -------- d-----w- c:\programme\Windows Live
2009-12-20 18:18 . 2009-12-20 18:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-06 21:22 . 2002-08-29 12:00 82464 ----a-w- c:\windows\system32\perfc007.dat
2010-01-06 21:22 . 2002-08-29 12:00 435828 ----a-w- c:\windows\system32\perfh007.dat
2010-01-06 21:18 . 2007-09-23 00:33 -------- d-----w- c:\dokumente und einstellungen\HS.MISTSTUECK\Anwendungsdaten\TwonkyMedia
2010-01-06 20:52 . 2010-01-06 20:55 185158 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-01-05 20:29 . 2007-05-20 03:55 -------- d-----w- c:\programme\CCleaner
2009-12-20 18:26 . 2006-08-20 17:36 124344 ----a-w- c:\dokumente und einstellungen\HS.MISTSTUECK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-08 20:29 . 2009-09-06 01:46 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-29 07:40 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-24 08:44 . 2009-10-24 08:44 86148 ---ha-w- c:\windows\system32\mlfcache.dat
2009-10-24 08:25 . 2009-10-24 08:25 79144 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.1.8\SetupAdmin.exe
2009-10-21 05:38 . 2006-08-20 22:05 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-21 05:38 . 2006-08-20 22:05 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-20 16:20 . 2006-08-20 22:05 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2002-08-29 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2002-08-29 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2002-08-29 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2007-10-07 02:37 . 2007-10-07 02:37 411248 ----a-w- c:\programme\FLV PlayerRCSetup.exe
2007-09-02 16:51 . 2007-09-02 16:48 51418424 ----a-w- c:\programme\iTunesSetup.exe
2007-03-29 22:35 . 2008-03-01 20:28 14240 ----a-w- c:\programme\Flash CS3 Professional - Bitte lesen.html
2007-06-07 15:36 . 2007-06-07 15:36 8192 --sha-w- c:\windows\o2cLicStore.bin
2006-08-22 02:49 . 2006-08-22 02:49 8 --sh--r- c:\windows\system32\5E4CAD0C51.sys
2008-04-14 02:22 . 2002-08-29 12:00 617472 --sha-w- c:\windows\system32\comctl32.dll
2006-05-03 09:06 . 2007-10-07 03:04 163328 --sh--r- c:\windows\system32\flvDX.dll
2006-08-22 02:49 . 2006-08-22 02:47 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
2008-04-14 02:22 . 2002-08-29 12:00 1028096 --sha-w- c:\windows\system32\mfc42.dll
2002-08-29 12:00 . 2002-08-29 12:00 57344 --sha-w- c:\windows\system32\mfc42loc.dll
2007-02-21 10:47 . 2007-10-07 03:04 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-04-14 02:22 . 2002-08-29 12:00 413696 --sha-w- c:\windows\system32\msvcp60.dll
2008-04-14 02:22 . 2002-08-29 12:00 343040 --sha-w- c:\windows\system32\msvcrt.dll
2002-08-29 12:00 . 2002-08-29 12:00 253952 --sha-w- c:\windows\system32\msvcrt20.dll
2008-04-14 02:22 . 2002-08-29 12:00 30749 --sha-w- c:\windows\system32\vbajet32.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2005-10-18 1560576]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"VTTrayp"="VTtrayp.exe" [2005-11-01 163840]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PDF Converter Registry Controller"="c:\programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe" [2004-08-18 98304]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 577536]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"LiveMonitor"="c:\programme\MSI\Live Update 3\LMonitor.exe" [2009-02-24 498688]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\HS.MISTSTUECK\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-08-11 20:43 7630848 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW20]
2006-06-01 16:22 208896 ----a-w- c:\windows\system32\sw20.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW24]
2006-06-01 16:22 69632 ----a-w- c:\windows\system32\sw24.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"swg"=c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"InCD"=c:\programme\Nero\Nero 7\InCD\InCD.exe
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe"
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\TwonkyMedia\\TwonkyMediaServer.exe"=
"c:\\Programme\\TwonkyMedia\\TwonkyMedia.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [18.10.2006 16:39 11264]
R1 SSHDRV57;SSHDRV57;c:\windows\system32\drivers\SSHDRV57.sys [07.06.2007 16:46 32768]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [09.07.2007 16:43 81408]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 09:21 17280]
R2 TwonkyMedia;TwonkyMedia;c:\programme\TwonkyMedia\TwonkyMedia.exe -serviceversion 0 --> c:\programme\TwonkyMedia\TwonkyMedia.exe -serviceversion 0 [?]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [21.08.2006 00:32 882688]
R3 Pei10Wdm;PEI10 Protokoll Treiber;c:\windows\system32\drivers\Pei10Wdm.sys [15.08.2002 08:20 35547]
R3 Pei16Wdm;PEI16 Protokoll Treiber;c:\windows\system32\drivers\Pei16Wdm.sys [19.09.2002 20:07 34683]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [20.08.2006 22:18 264704]
S3 MSSQL$PP40;MSSQL$PP40;c:\programme\Microsoft SQL Server\MSSQL$PP40\Binn\sqlservr.exe -sPP40 --> c:\programme\Microsoft SQL Server\MSSQL$PP40\Binn\sqlservr.exe -sPP40 [?]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]
S3 Pronto2G;Philips Pronto NG USB Driver;c:\windows\system32\drivers\Pronto2G.sys [20.05.2007 02:06 16384]
S3 SQLAgent$PP40;SQLAgent$PP40;c:\programme\Microsoft SQL Server\MSSQL$PP40\Binn\sqlagent.EXE -i PP40 --> c:\programme\Microsoft SQL Server\MSSQL$PP40\Binn\sqlagent.EXE -i PP40 [?]
S3 TNET1130;D-Link AirPlus XtremeG+ Wireless Adapter;c:\windows\system32\drivers\GPLUS.sys [20.08.2006 18:39 202496]
S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.09.2009 02:46 108289]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - gxikoq

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-01-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-15 10:07]

2010-01-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = 192.168.3.3:1060
uInternet Settings,ProxyOverride = localhost;<local>;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: PDF in Word öffnen (PDF Converter 2.0) - c:\programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /500
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\HS.MISTSTUECK\Anwendungsdaten\Mozilla\Firefox\Profiles\f11d7ruy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google

---- FIREFOX Richtlinien ----
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-06 22:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gxikoq]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040711900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3604)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchTrayHook.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
c:\programme\Microsoft Office\OFFICE11\msohev.dll
c:\programme\Creative\Creative NOMAD Jukebox Zen Xtra\NOMAD Explorer\CTJBNS.DLL
c:\programme\Creative\Creative NOMAD Jukebox Zen Xtra\NOMAD Explorer\CTIntrfc.dll
c:\programme\Creative\Creative NOMAD Jukebox Zen Xtra\NOMAD Explorer\JBNSHK.dll
c:\programme\Creative\Creative NOMAD Jukebox Zen Xtra\NOMAD Explorer\JBNSRES.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Microsoft Virtual PC\VPCShExH.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\windows\System32\dllhost.exe
c:\windows\system32\CTSvcCDA.EXE
c:\programme\Gemeinsame Dateien\AVM\de_serv.exe
c:\windows\System32\tcpsvcs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\System32\msdtc.exe
c:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\windows\System32\locator.exe
c:\windows\System32\TUProgSt.exe
c:\programme\TwonkyMedia\TwonkyMedia.exe
c:\windows\System32\vssvc.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
c:\programme\TwonkyMedia\TwonkyMediaServer.exe
c:\windows\system32\VTTimer.exe
c:\windows\SOUNDMAN.EXE
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-06 22:28:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-06 21:28

Vor Suchlauf: 19 Verzeichnis(se), 114.673.135.616 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 114.518.900.736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 376BAF2BFF505EC2AFAC09C78746EBAD

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code:

c:\windows\system32\drivers\gxikoq.sys

Hallo Arne,

1.: Nach dem Check laut Deiner Liste waren die geschützten Systemdateien ursprünglich ausgeblendet, ist jetzt behoben.

2. Virustotal.com:
Das ist seltsam. Ich glaube, Du hast da definitiv den richtigen Riecher mit dieser Datei: Die Datei lässt sich weder mit noch ohne SSL hochladen, es kommt die Fehlermeldung, dass 0KB empfangen wurden:
0 bytes size received / Se ha recibido un archivo vacio

Wollte die Datei daher via Mail an den Server schicken, aber auch hier: hänge ich die Datei (746 KB) an eine Mail an, erhalte ich hier mehr oder weniger die gleiche Meldung, nämlich, dass ein Senden dieser Datei nicht möglich ist, und auch hier werden 0 KB angezeigt.

Auch interessant: im Dateiexplorer wird in der Spalte "Geändert am" immer schön die aktuelle Uhrzeit angezeigt.

AntiVir gibt folgende Meldung zu dieser Datei bei einem Direktscan:
Beginn des Suchlaufs: Freitag, 8. Januar 2010 21:30

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32\drivers\gxikoq.sys'
C:\WINDOWS\system32\drivers\gxikoq.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Freitag, 8. Januar 2010 21:30
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
1 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Dann gehen wir wieder mit dem Avenger dran, siehe Anleitung oben, nur diesen Script bitte diesmal benutzen:

Zitat:

files to delete:
c:\windows\system32\drivers\gxikoq.sys

Und nach der Prozedur bitte die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.

hier ist es:
http://www.file-upload.net/download-...ackup.zip.html

Das kleine Miststück :aufsmaul: lässt sich leider auch von Avenger nicht löschen.:nixda:

(Lässt sich auch nicht umbenennen, beim Versuch, sie umzubenennen kommt
"Die Quelldatei oder vom Quelldatenträger kann nicht gelesen werden").
Was ein hartnäckiges Biest....

Dann eben mit anderen Maßnahmen :D

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/gxikoq.sys um in gxikoq.bad
7. Starte den Rechner neu und boote Windows
8. Die in Linux umbenannte Datei bei Virustotal.com auswerten lassen und Ergebnislink posten

:Boogie: hihi, das hat Spaß gemacht:

Startscreen Auswertung:
Die Datei wurde bereits analysiert:
MD5: a5e7a32a05af52b5807038a24c8b97e0
First received: 2010.01.02 12:50:12 UTC
Datum 2010.01.10 15:23:31 UTC [<1D]
Ergebnisse 31/41
Permalink:

Dateianalyse:
http://www.virustotal.com/de/analisi...dc6-1263137547

Schön, probier mal bitte einen Durchlauf mit GMER und poste das Log. Unabhängig davon ob GMER durchläuft oder nicht (manchmal stürzt es leider ab :( ) danach einen neuen Durchlauf mit Malwarebytes (aktuelle Signaturen) machen.

GMER lief über 8 (!) Stunden, bis er im Windows/system32-Ordner ankam,
dann kam ein Bluescreen mit dem Hinweis, dass ein Problem festgestellt wurde und Windows heruntergefahren wird. Zusätzlich der Hinweis, dass dieses Problem möglicherweise von folgender Datei verursacht wurde:

fwryyaow.sys
PAGE_FAULT_IN_NONPAGED_AREA

Address B790FD3D base at B7904000, datestamp 4b274f8d

Lasse grade nebenher Malwarebytes laufen und suche mal nach dieser Datei, poste nachher die Ergebnisse.

Hast Du bei fullscan (GMER) auf Nein/no geklickt?

ja habe ich, das kam ganz am Anfang, noch bevor man die Häkchen setzen kann. Man hat auch während dem Scan gesehen, wie er sich durch die Ordner plagt...allerdings ist da auch wirklich massig drauf, der kleine Rechner verwaltet leider meine Musiksammlung :(

Edit: die Datei, die im Bluescreen-Modus genannt wird, befindet sich laut Dateisuche nicht auf dem Rechner (Tipps zur richtigen Suche hier aus dem Forum alle berücksichtigt)

Hmja, wie ich schon erwähnte, stürzt GMER leider auf manchen Systemen ab :(
Mach bitte mit Malwarebytes weiter.

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.01.2010 23:38:45
mbam-log-2010-01-11 (23-38-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 328631
Laufzeit: 1 hour(s), 33 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{50DEB8D6-7FDE-42DB-B0D7-3FC1D17C4935}\RP1\A0000151.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Ergänzung:
zusätzlich hat Avira beim Neustart nach Malwarescan die Datei von gestern, die wir in die *Bad-Datei via Linux Boot-CD umbenannt haben, gekillt:

In der Datei 'C:\WINDOWS\system32\drivers\gxikoq.bad'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Kryptic.763904' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

und zusätzlich zwei in Quarantäne verschoben, aber die kommen von ComboFix(?):
C:\cofi\N_\testme (enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904)
C:\cofi\ClsidFiles (enthält verdächtigen Code: HEUR/HTML.Malware)

--> ich versuche über Nacht jetzt nochmal GMER laufen zu lassen, vielleicht klappt es ja diesmal...

Hm ist ja klar, die umbenannte Datei kann AntiVir ja jetzt auch "sehen", da das Rootkit inaktiv ist ist und sich somit nicht verstecken kann :)

Und das andere ist von Combofix. ;)