gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll
 

Hallo liebe Experten,

bin neu hier und wende mich mit einem Problem an Euch.

Vor ein paar Tagen wurden meine Accounts bei gmx und paypal aufgehackt und auch benutzt. :pfui:
Die durchgeführten Aktionen sind rückgängig gemacht und die Accounts von einem anderen PC aus abgesichert.:)
Kurz zur Historie:
Zum betreffenden Zeitpunkt liefen auf dem PC spybot, adaware und Antivir 9. Keines der Programme hatte irgendwas angezeigt. Nachdem die Accounts gehackt wurden, habe ich einen Scan mit Antivir 9 durchgeführt. Als einziges bemerkenswertes Ergebnis erhielt ich eine Warnung, dass der Zugriff auf das file C:\windows\system32\CVHW.dll gesperrt ist. Unter Windows existiert das file tatsächlich und auch alle Arten von Zugriff sind gesperrt und können nicht entsperrt werden. Unter DOS existiert das file angeblich garnicht. Dann habe ich eure Anleitung befolgt und zunächst CCleaner und dann Malwarebytes laufen lassen. Malwarebytes hat dabei trojan.fakealert gemeldet und entfernt. Das o.g. file blieb jedoch erhalten. Ich habe dann auf Antivir 10 geupdatet und erneut gescannt. Anitvir 10 hat viele versteckte Dateien gemeldet und mich dazu aufgefordert die Rescue-CD zu benutzen. Das Programm auf der CD startet jedoch nicht völlig durch.
Beim Anstecken eines USB-Sticks (der vor zuletzt mit dem PC benutzt wurde) blockt Antivir 10 immer das file autorun.inf.
Da ich im Internet nichts über den Zusammenhang zwischen fakealert, gehackten Accounts und CVHW.dll finden konnte, bin jetzt verunsichert, ob dieser PC wieder sicher ist. Ich habe nochmals die Durchläufe mit CCleaner, malwarebytes und Rsit gemacht. Hier die files:
malwarebytes:
Rsit-info:
und Rsit-log:
Vielen Dank für eure Bemühungen.

Grüße,
Frank

Hi,

wende bitte mal The Avenger an:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.multimania.de/efunct...23/avenger.png


3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.)Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.

Hallo Franz,

vielen Dank, dass Du mir bei der Lösung meines Problems hilfst.

Ich Habe deine Anweisung durchgeführt.
Hier der Link:

hxxp://w*w.file-upload.net/download-2416053/backup.zip.html

und das log-file
Bis dann,
Frank

Entpacke mal bitte diese Datei:
Was findest du darin?

Das file ist aus c:\windows\system32 verschwunden und steht stattdessen in c:\avenger.

Zum Entpacken wird ein Kennwort abgefragt.

Wo finde ich dieses?

So soll das sein.

Dann lade c:\avenger\backup.zip bitte noch einmal hoch und poste den neuen Link. Die CVHW.DLL war nämlich vorhin nicht enthalten.

Nächster Versuch:

hxxp://w*w.file-upload.net/download-2416180/backup.zip.html

Das backup.zip-file hat auch nur eine Größe von 1KB.

Das File ist auch wieder nicht drin. :schmoll:

Ein Versuch noch: Deaktiviere dazu bitte deinen AV-Guard. Wenn das nicht klappt: Entpacke die CVHW.DLL, lade sie hoch und schicke mir den Link als PN.

Hallo Franz,

ich hab mir das nochmal angesehen. Das backup.zip-file hat eine Größe von 1KB. Der Ordner "Backup1" enthält nur einen Ordner Namens "avenger". Dieser Ordner ist leer. Neben diesen beiden Dingen enthält mein "c:\avenger"-Ordner dann noch das CVHW.dll-file in Geisterzeichnung. Die Eigenschaften von diesem file zeigen an, dass es nicht schreibgeschützt aber versteckt ist. Die "versteckt"-Option ist aber in Geisterschrift.
Ich habe auch mal versucht, dass file zu einem zip-Ordner hinzuzufügen, aber ich bekomme als Fehlermeldung "Datei nicht gefunden oder keine Leseberechtigung" zurück. Es wird dann zwar ein zip-Ordner erstellt, dieser ist dann aber leer (Größe: 1KB); genauso wie auch das backup.zip-file immer leer ist.
Wenn ich meinen AV-Guard deaktiviere, ändert sich an diesen Fakten garnichts. Ich habe daher darauf verzichtet, dir nochmals ein leeres zip hochzuladen.:(

Ich würde auch nur ungern ein potentiell gefährliches file "unverpackt" rumsenden.

Was nun?:confused:

Ok, zunächst was anderes:

Bitte diese Anleitung genau lesen und Log posten.

Außerdem wüsste ich gern etwas über diesen Task:
Die entsprechende Datei bitte rechtsklicken -> Eigenschaften und posten, was du unter "Ausführen" vorfindest.

Zunächst zum task:
Den task gibt es bei mir nicht bzw. ist er nicht sichtbar.

Den gmer-scan mache ich dann umgehend.

Und hier noch der log von gmer:
Hast du/ihr evtl. schon einen Verdacht?

Bis bald.

Habe heute auch noch einen scan mit OSAM gemacht.
Dort wird der task "xoszyleu.job" ebenfalls aufgeführt.

Hier der log:

Sry, ich hatte deinen Thread nicht mehr auf dem Schirm.

Als erstes machen wir diese .job-Datei weg: Benutze noch einmal den Avenger, wie in meinem ersten Posting beschrieben. Als Script gibst bzw. kopierst du exakt diese Zeilen ein:
Danach gehst du vor wie gehabt und postest das Log des Avenger sowie den Link zu der backup.zip, die du bitte hochlädst.

Deinem OSAM-Logfile kann ich nichts Auffälliges entnehmen. Wir machen daher einen erneuten Scan mit Malwarebytes (bitte vorher updaten!) sowie einen

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Bitte poste alle Logfiles ohne Code-Tags!



Wird der Rechner eigentlich geschäftlich oder privat genutzt?

Hallo Franz,

ich freue mich, dass du mir weiterhin helfen willst. Hatte schon befürchtet, dass ich dich irgendwie vergrault hätte.
Jedenfalls schon mal vielen Dank für deine Zeit.

Der Rechner wird im Prinzip nur privat genutzt. Auf dem Rechner laufen öfters Berechnungen mit Gaussian 98 (G98W) um Eigenschaften von chemischen Molekülen zu bestimmen. Diese Rechnungen haben indirekt schon mit meinem Beruf zu tun.

Ich mach mich jetzt gleich an deine Anweisungen.

Bis bald,
Frank

Hier das log von avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\tasks\xoszyleu.job" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



und der link zum backup.zip

hxxp://w*w.file-upload.net/download-2427961/backup.zip.html

Die anderen scans mach ich jetzt.

Bis dann,
Frank

Hier das log-file von malwarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3978

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 20:42:31
mbam-log-2010-04-11 (20-42-31).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 106650
Laufzeit: 5 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und hier noch das OTL.txt-file:
OTL logfile created on: 11.04.2010 20:47:50 - Run 1
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\ADMIN\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 460,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,62 Gb Free Space | 60,47% Space Free | Partition Type: NTFS
Drive D: | 37,26 Gb Total Space | 29,53 Gb Free Space | 79,26% Space Free | Partition Type: NTFS
Drive E: | 39,06 Gb Total Space | 38,01 Gb Free Space | 97,32% Space Free | Partition Type: NTFS
Drive F: | 75,43 Gb Total Space | 69,53 Gb Free Space | 92,18% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,93 Gb Total Space | 1,93 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: LUCY
Current User Name: ADMIN
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\VDOTool\TBPANEL.exe (Palit Microsystems, Inc.)
PRC - C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
PRC - C:\Programme\Portrait Displays\HP My Display\dthtml.exe (Portrait Displays, Inc)
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe (Portrait Displays Inc.)
PRC - C:\Programme\Portrait Displays\Pivot Software\Floater.exe ()
PRC - C:\Programme\Portrait Displays\Pivot Software\wpCtrl.exe ()
PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
PRC - C:\WINDOWS\system32\VTTimer.exe (S3 Graphics, Inc.)
PRC - C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\lg_fwupdate\fwupdate.exe (CST)
PRC - C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
PRC - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
PRC - C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd.exe (Hewlett-Packard)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation)
MOD - C:\Programme\Logitech\SetPoint\lgscroll.dll (Logitech, Inc.)
MOD - C:\Programme\Portrait Displays\Pivot Software\Winphook.dll ()


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (SNMP) -- C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (DTSRVC) -- C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
SRV - (InCDsrv) -- C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
SRV - (SimpTcp) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)
SRV - (LPDSVC) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech, Inc.)
DRV - (WmXlCore) -- C:\WINDOWS\system32\drivers\WmXlCore.sys (Logitech Inc.)
DRV - (WmVirHid) -- C:\WINDOWS\system32\drivers\WmVirHid.sys (Logitech Inc.)
DRV - (WmHidLo) -- C:\WINDOWS\system32\drivers\WmHidLo.sys (Logitech Inc.)
DRV - (WmFilter) -- C:\WINDOWS\system32\drivers\WmFilter.sys (Logitech Inc.)
DRV - (WmBEnum) -- C:\WINDOWS\system32\drivers\WmBEnum.sys (Logitech Inc.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )
DRV - (pdiddcci) -- C:\WINDOWS\system32\drivers\pdiddcci.sys (Portrait Displays, Inc.)
DRV - (AmdPPM) -- C:\WINDOWS\system32\drivers\AmdPPM.sys (Advanced Micro Devices)
DRV - (TBPanel) -- C:\WINDOWS\system32\drivers\TBPanel.sys (Windows (R) 2000 DDK provider)
DRV - (Pivot) -- C:\WINDOWS\system32\drivers\pivot.sys (Portrait Displays, Inc.)
DRV - (pivotmou) -- C:\WINDOWS\system32\drivers\pivotmou.sys (Portrait Displays, Inc.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.)
DRV - (PdiPorts) -- C:\WINDOWS\system32\drivers\PdiPorts.sys (Portrait Displays, Inc.)
DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider)
DRV - (hcwPP2) -- C:\WINDOWS\system32\drivers\hcwPP2.sys (Hauppauge Computer Works, Inc.)
DRV - (S3GIGP) -- C:\WINDOWS\system32\drivers\S3gIGPm.sys (S3 Graphics Co., Ltd.)
DRV - (xfilt) -- C:\WINDOWS\system32\DRIVERS\xfilt.sys (VIA Technologies,Inc)
DRV - (videX32) -- C:\WINDOWS\system32\DRIVERS\videX32.sys (VIA Technologies, Inc.)
DRV - (ViaIde) -- C:\WINDOWS\System32\DRIVERS\viaidexp.sys (VIA Technologies, Inc.)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDpass.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDrm.sys (Nero AG)
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (prohlp02) -- C:\WINDOWS\System32\drivers\prohlp02.sys (Protection Technology)
DRV - (prodrv06) -- C:\WINDOWS\System32\drivers\prodrv06.sys (Protection Technology)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation)
DRV - (prosync1) -- C:\WINDOWS\System32\drivers\prosync1.sys (Protection Technology)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (sfhlp01) -- C:\WINDOWS\System32\drivers\sfhlp01.sys (Protection Technology)
DRV - (viaagp1) -- C:\WINDOWS\System32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (cdenable) -- C:\WINDOWS\system32\drivers\cdenable.sys ()
DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2010.03.17 13:00:18 | 000,000,176 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe (Portrait Displays, Inc)
O4 - HKLM..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe (Palit Microsystems, Inc.)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe (CST)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [PivotSoftware] C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe ()
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [S3Trayp] C:\WINDOWS\System32\S3Trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKCU..\Run: [Pando] C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} hxxp://www.alternatiff.com/install-ie/alttiff.cab (AlternaTIFF ActiveX)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199617933373 (WUWebControl Class)
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab (HpProductDetection Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222965640696 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab (HPSDDX Class)
O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.184.161 83.169.184.225
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.06 09:48:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk H:\
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.11 20:46:56 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.09 19:56:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.04.07 17:57:13 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.04.07 14:33:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ADMIN\Recent
[2010.04.07 14:08:16 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.04.04 16:47:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Avira
[2010.04.04 16:47:00 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.04.04 16:47:00 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.04.04 16:47:00 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.04.04 16:47:00 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.04.04 16:46:59 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.04.04 16:46:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.04.01 19:13:12 | 000,000,000 | ---D | C] -- C:\Programme\HJT
[2010.04.01 18:58:06 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.04.01 18:58:05 | 000,000,000 | ---D | C] -- C:\rsit
[2010.04.01 18:32:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Malwarebytes
[2010.04.01 18:32:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.01 18:32:21 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.01 18:32:21 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.01 18:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.01 18:11:03 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.04.01 13:13:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.03.26 18:15:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared
[2010.03.15 08:58:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\WinRAR
[2010.03.15 08:58:39 | 000,000,000 | ---D | C] -- C:\Programme\WinRAR
[2010.03.01 09:36:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2010.02.09 19:15:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.02.09 19:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.11.20 20:20:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2009.08.02 21:15:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 14:01:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 09:48:11 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.11 20:46:59 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.11 20:45:49 | 000,000,559 | ---- | M] () -- C:\WINDOWS\DFC.INI
[2010.04.11 20:34:44 | 000,000,298 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2010.04.11 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.04.11 20:25:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.11 20:24:34 | 001,082,570 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.11 20:24:34 | 000,474,806 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.11 20:24:34 | 000,433,698 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.11 20:24:34 | 000,090,588 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.11 20:24:34 | 000,067,984 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.11 20:21:19 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
[2010.04.11 20:21:14 | 000,267,725 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.04.11 20:21:08 | 000,000,255 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
[2010.04.11 20:20:43 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.11 20:20:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.11 20:20:42 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.11 20:20:31 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.11 20:20:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.11 20:20:27 | 1072,156,672 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.11 20:19:30 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2010.04.11 20:19:30 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2010.04.11 14:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.04.09 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.04.09 17:19:00 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.07 22:44:15 | 000,078,336 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:29:38 | 000,286,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.07 14:23:00 | 000,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:20 | 000,244,736 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:53 | 000,484,352 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[2010.04.04 16:47:12 | 000,001,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.04.01 21:52:15 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.04.01 21:52:14 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.04.01 19:13:13 | 000,001,990 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\HiJackThis.lnk
[2010.04.01 18:57:43 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\RSIT.exe
[2010.04.01 18:32:26 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.01 18:11:04 | 000,001,523 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\CCleaner.lnk
[2010.03.31 18:47:19 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.26 18:17:37 | 000,000,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer SP.lnk
[2010.03.26 18:17:24 | 000,185,920 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\rmoc3260.dll
[2010.03.26 18:16:39 | 000,006,656 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5016.dll
[2010.03.26 18:16:39 | 000,005,632 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5032.dll
[2010.03.26 18:13:07 | 000,278,528 | ---- | M] (Real Networks, Inc) -- C:\WINDOWS\System32\pncrt.dll
[2010.03.14 16:01:38 | 000,000,169 | ---- | M] () -- C:\WINDOWS\RtlRack.ini
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.07 22:44:15 | 000,078,336 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:23:00 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:19 | 000,244,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:52 | 000,484,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[2010.04.04 16:47:12 | 000,001,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.04.01 19:13:13 | 000,001,990 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\HiJackThis.lnk
[2010.04.01 18:57:41 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\RSIT.exe
[2010.04.01 18:32:26 | 000,000,687 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.01 18:11:04 | 000,001,523 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\CCleaner.lnk
[2010.03.26 18:17:40 | 000,000,270 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.03.26 18:17:38 | 000,000,278 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.03.26 18:17:37 | 000,000,817 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer SP.lnk
[2010.03.26 18:09:20 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.03.26 18:09:18 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.03.26 18:09:16 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.03.26 18:09:16 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2009.09.14 17:55:11 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.06.20 19:58:19 | 000,000,179 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup.log
[2009.06.20 19:58:12 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup_ldm.iss
[2008.05.31 13:35:13 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.04.06 18:17:30 | 000,000,600 | ---- | C] () -- C:\WINDOWS\Rtcw.INI
[2008.04.06 17:47:16 | 000,040,960 | ---- | C] () -- C:\Programme\Uninstall_CDS.exe
[2008.04.06 17:46:07 | 000,000,255 | ---- | C] () -- C:\WINDOWS\lgfwup.ini
[2008.03.29 18:57:26 | 000,002,304 | ---- | C] () -- C:\WINDOWS\System32\Machnm32.sys
[2008.03.29 17:56:24 | 000,000,559 | ---- | C] () -- C:\WINDOWS\DFC.INI
[2008.02.17 13:08:06 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.16 16:37:01 | 000,000,769 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\.plugin140_04.trace
[2008.02.16 16:36:36 | 000,045,164 | ---- | C] () -- C:\WINDOWS\System32\ActPanel.dll
[2008.01.13 20:55:15 | 000,009,299 | ---- | C] () -- C:\WINDOWS\hpdj5600.ini
[2008.01.13 16:39:50 | 000,299,454 | ---- | C] () -- C:\WINDOWS\Allsim.ini
[2008.01.13 16:39:49 | 000,061,268 | ---- | C] () -- C:\WINDOWS\Biutilsm.ini
[2008.01.13 16:39:49 | 000,057,969 | ---- | C] () -- C:\WINDOWS\Simsim.ini
[2008.01.13 16:39:49 | 000,000,580 | ---- | C] () -- C:\WINDOWS\Common.ini
[2008.01.13 16:39:43 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\Prtserv.dll
[2008.01.13 14:41:07 | 000,000,298 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2008.01.13 14:13:03 | 000,000,248 | ---- | C] () -- C:\WINDOWS\HCWBlast.ini
[2008.01.13 14:11:55 | 000,004,027 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2008.01.13 13:31:46 | 000,000,215 | ---- | C] () -- C:\WINDOWS\nanoPEG.ini
[2008.01.13 13:27:39 | 000,000,349 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2008.01.13 13:27:22 | 000,029,998 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008.01.13 13:27:16 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2008.01.12 21:53:17 | 000,000,811 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Eudora.lnk
[2008.01.12 19:38:30 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2008.01.12 18:37:52 | 000,000,447 | ---- | C] () -- C:\WINDOWS\Chem3D.INI
[2008.01.12 18:18:12 | 000,006,112 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdenable.sys
[2008.01.12 17:30:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.01.06 13:40:16 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2008.01.06 13:00:56 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.01.06 10:14:01 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2008.01.06 10:08:47 | 002,465,280 | ---- | C] () -- C:\WINDOWS\System32\s3gcil_inv.dll
[2008.01.06 10:05:11 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2008.01.06 10:05:04 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2008.01.06 09:52:03 | 000,057,344 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.dat.LOG
[2008.01.06 09:52:03 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2008.01.06 09:52:02 | 004,980,736 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2007.11.28 10:45:31 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.07.21 16:50:34 | 000,066,048 | ---- | C] () -- C:\WINDOWS\System32\hcwXDS.dll
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
< End of report >


und das Extras.txt-file:
OTL Extras logfile created on: 11.04.2010 20:47:50 - Run 1
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\ADMIN\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 460,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,62 Gb Free Space | 60,47% Space Free | Partition Type: NTFS
Drive D: | 37,26 Gb Total Space | 29,53 Gb Free Space | 79,26% Space Free | Partition Type: NTFS
Drive E: | 39,06 Gb Total Space | 38,01 Gb Free Space | 97,32% Space Free | Partition Type: NTFS
Drive F: | 75,43 Gb Total Space | 69,53 Gb Free Space | 92,18% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,93 Gb Total Space | 1,93 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: LUCY
Current User Name: ADMIN
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"56782:TCP" = 56782:TCP:*:Enabled:Pando
"56782:UDP" = 56782:UDP:*:Enabled:Pando

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\CambridgeSoft\ChemOffice2004\ChemDraw\ChemDraw.exe" = C:\Programme\CambridgeSoft\ChemOffice2004\ChemDraw\ChemDraw.exe:*:Enabled:ChemDraw Ultra 8.0 -- (CambridgeSoft Corp.)
"C:\Programme\CambridgeSoft\ChemOffice2004\Chem3D\Chem3D.exe" = C:\Programme\CambridgeSoft\ChemOffice2004\Chem3D\Chem3D.exe:*:Enabled:Chem3D Ultra -- (CambridgeSoft Corp.)
"E:\Flight Simulator 9\fs9.exe" = E:\Flight Simulator 9\fs9.exe:*:Enabled:Microsoft Flight Simulator -- File not found
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server -- (Microsoft Corporation)
"E:\TestDrive\TestDriveUnlimited.exe" = E:\TestDrive\TestDriveUnlimited.exe:*:Enabled:Test Drive Unlimited -- File not found
"C:\Programme\CambridgeSoft\ChemOffice2004\ENotebook\ENotebook8.exe" = C:\Programme\CambridgeSoft\ChemOffice2004\ENotebook\ENotebook8.exe:*:Enabled:ENotebook8 -- (CambridgeSoft Corporation)
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\Pando Networks\Pando\Pando.exe" = C:\Programme\Pando Networks\Pando\Pando.exe:*:Enabled:Pando -- (Pando Networks)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0217E1D1-BCEF-4A61-AF6D-F7740F65A066}" = Pivot Software
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{068502DA-6979-4D9A-BBE1-C3AD0FF11F19}" = Ulead FilmBrennerei 2 SE
"{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}" = HiJackThis
"{0C826C5B-B131-423A-A229-C71B3CACCD6A}" = CDDRV_Installer
"{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}" = SDK
"{15733AD1-1CEF-459A-9245-0924FC63BDD5}" = HP My Display
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Multimedia Launcher
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2227E1FA-01F5-483C-AB0E-2A308E900B3D}" = InterVideo FilterSDK for Hauppauge
"{24F2E03B-ACF2-42FB-8A2A-5F015ACBDD16}" = TIGER ONE
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 17
"{3101CB58-3482-4D21-AF1A-7057FC935355}" = KhalInstallWrapper
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12
"{53735ECE-E461-4FD0-B742-23A352436D3A}" = Logitech Updater
"{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3
"{5A33744D-33F5-451A-9CB0-2FE49EE3809C}" = ChemOffice Ultra 2004
"{6179550A-3E7C-499E-BCC9-9E8113E0A285}" = LG ODD Auto Firmware Update
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK
"{766273C1-A39B-47EB-ACE8-DEBDD8094BCC}" = overland
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7EC9E7A1-A576-43C8-9CBB-31BD5625EBCA}" = Fox LiveUpdate
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8B12D5A1-E544-11D6-9D1C-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_04
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90300407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Media Content
"{91110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{91190407-6000-11D3-8CFE-0050048383C9}" = Microsoft Publisher 2002
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB480DA0-7EE9-465D-9C12-4CDE65BF18FB}" = Pando
"{AC76BA86-1033-F400-7760-100000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B97CF5C3-0487-11D8-A36E-0050BAE317E1}" = DVD Solution
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5961323-A2E5-4FAB-B92D-DBF6C282F0F5}" = Logitech Gaming Software 5.01
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DB5518BE-F40F-407A-B451-012625D4497B}" = hp deskjet 5600
"{E32D1370-414D-45CC-950A-7320BA6022C5}" = Corel SVG Viewer
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{ED636101-1959-4360-8BF7-209436E7DEE4}" = Windows Live Sync
"{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}" = Logitech SetPoint
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Acrobat 7.0 Professional - English, Français, Deutsch - V" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Executor" = Executor-Win32
"Gaussian 98W" = Gaussian 98W
"Hauppauge German Help Files and Resources" = Hauppauge German Help Files and Resources
"Hauppauge WinTV Infrared Remote" = Hauppauge WinTV Infrared Remote
"Hauppauge WinTV IR Blaster" = Hauppauge WinTV IR Blaster
"Hauppauge WinTV Scheduler" = Hauppauge WinTV Scheduler
"Hauppauge WinTV2000" = Hauppauge WinTV2000
"Hauppauge WinTV-PVR 150 Drivers" = Hauppauge WinTV-PVR 150 Drivers
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InCD!UninstallKey" = InCD
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Platform Device Manager
"Java Web Start" = Java Web Start
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MDL ISIS Draw 2.5 Standalone" = MDL ISIS Draw 2.5 Standalone
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Molekel" = Molekel
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"nanoPEG-Editor 2.3 Hauppauge Edition_is1" = nanoPEG-Editor 2.3 Hauppauge Edition
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NETGEAR Print Server Software" = NETGEAR Print Server Software
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"OpenAL" = OpenAL
"RealPlayer 12.0" = RealPlayer
"SpeedFan" = SpeedFan (remove only)
"VDOTool_is1" = VDOTool 5.9
"VIA Chrome9 HC IGP Display" = VIA/S3G Display Driver 6.14.10.0057
"VIA/S3G DeltaChrome IGP Win2K/XP/Server2003 Display" = VIA/S3G Display Driver
"VTPlus32 für WinTV (German)" = VTPlus32 für WinTV (German)
"WIC" = Windows Imaging Component
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Networks Player - IE" = Move Networks Media Player for Internet Explorer

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 31.03.2010 14:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 31.03.2010 15:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 31.03.2010 16:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 31.03.2010 17:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 11:09:47 | Computer Name = LUCY | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung rescue_system-common-en.exe, Version 0.0.0.0,
Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 04.04.2010 11:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 12:25:11 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 13:25:12 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 14:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 09.04.2010 10:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

[ System Events ]
Error - 07.04.2010 07:46:38 | Computer Name = LUCY | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 07.04.2010 07:47:53 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 07.04.2010 11:42:40 | Computer Name = LUCY | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 95.90.197.226 für die Netzwerkkarte mit der Netzwerkadresse
0015584C5C9A wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).

Error - 07.04.2010 11:43:17 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 07.04.2010 11:57:42 | Computer Name = LUCY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde ViaIde

Error - 07.04.2010 11:57:43 | Computer Name = LUCY | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.

Error - 07.04.2010 18:19:42 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 09.04.2010 11:18:38 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 11.04.2010 14:20:41 | Computer Name = LUCY | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.

Error - 11.04.2010 14:20:41 | Computer Name = LUCY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde ViaIde


< End of report >

Hier noch drei Punkte, an die ich noch erinnern wollte:
1) Die Sache mit der autorun.inf auf dem USB-Stick konnte ich wahrscheinlich selbst klären: Nach Umbenennen zu autorun.txt hatte ich Zugriff und konnte sehen, dass die nur Folgendes enthält:
[autorun]
icon=logo.ico,0

Aus meiner Laien-Sicht sorgt das nur dafür, dass der Stick mit seinem logo (aus logo.ico) angezeigt wird.
Richtig?

2) Im Gmer-Scan ist unter "Kernel" der Eintrag
lrtoqf.sys
zu sehen. Was ist das? Im Internet konnte ich nichts dazu finden.

3) Wird die "gesperrte" Datei CVHW.dll (die wir per avenger aus C:\windows\system32 rausgenommen haben) eigentlich auch mitgescannt, wenn sie in c:\avenger liegt und müsste bedacht werden, dass die Datei bereits vom 19.11.2009 stammt? Wenn ich die OTL-Einstellungen richtig verstanden habe, werden doch nur Files, die neuer als 30 Tage sind gescannt.
Was sollen wir letzlich mit dieser Datei machen?

LG,
Frank

Ja, sehe ich auch so. Auf jeden Fall unbedenklich.
Von der CVHW.dll wissen wir ja bereits. Sie muss in keinem Logfile mehr auftauchen.
Bevor wir da rangehen, noch zwei kurze Scans bitte:

1. Lade dir diese Datei -> mbr.exe direkt auf Laufwerk c:\ und führe sie aus.
Auf c:\ wird dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

2. Start -> Ausführen -> notepad eintippen und <enter>
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Speichere das Dokument unter file.bat auf deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat, poste den Inhalt des Textdokuments.

Hallo Franz,

vielen Dank für deine Erklärungen/Hinweise.

Ich hab die Anweisungen umgesetzt. Hier die Ergebnisse:

mbr.log:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

und log vom file.bat:

Benutzerkonten f�r \\LUCY

-------------------------------------------------------------------------------
ADMIN Administrator Gast
Hilfeassistent SUPPORT_388945a0
Der Befehl wurde erfolgreich ausgef�hrt.

Hinweis:
Nach der Ausführung von file.bat hat sich zusätzlich zum Editorfenster mit o.g. log-text noch ein DOS-Fenster geöffnet:
Titel: c:\windows\system32\cmd.exe
Meldung: Der Benutzername konnte nicht gefunden werden. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2221 eingeben.

Beim Schließen des Editorfensters (mit dem log-text) wurde das DOS-Fenster automatisch ebenfalls geschlossen.

Grüße,
Frank

Das alles ist gut so. Es bedeutet, dass eine bestimmte Infektion, erkennbar an einem bestimmten Benutzerkonto, offenbar nicht vorhanden ist.

Hast du die beiden backup.zip -Files von Avenger noch? Wenn ja, lade sie bitte bei Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de hoch und poste mir den Link. Die Probleme, die wir damit hatten, hingen nämlich evtl. mit dem Hoster file-upload.net zusammen.

Außerdem brauche ich noch ein Logfile von RootRepeal:

• Lade, entpacke und starte rootrepeal.exe
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.

• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Hallo Franz,

ja die beiden zip-files sind noch da, aber sie enthalten beide nur jeweils ein txt-file. Ich lade aber trotzdem beide hoch:

1. file (bezüglich CVHW.dll):
h**p://w*w.materialordner.de/4oITPUI1mvRob7zV8grbmJH41ColzGRs.html

2. file (bezüglich xoszyleu.job)
h**p://w*w.materialordner.de/5WO6fizwgxx0SoeDZAYtabk6M57vpUq.html

Ich habe jedoch die Vermutung, dass das "Gewünschte" nicht in den zips enthalten ist. Hab auch mal versucht, die beiden files zu einem zip bzw. rar zu packen. Dabei gibt für beide files den Fehler, dass sie nicht hinzugefügt werden könne, da sie nicht geöffnet werden können, da kein Zugriff möglich ist.

Den scan bringe ich jetzt dann auf den Weg.

LG,
Frank

Hier noch der log von RootRepeal:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/04/12 17:33
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF1D85000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7BA2000 Size: 8192 File Visible: No Signed: -
Status: -

Name: giveio.sys
Image Path: giveio.sys
Address: 0xF7C19000 Size: 1664 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB78AA000 Size: 49152 File Visible: No Signed: -
Status: -

Name: speedfan.sys
Image Path: speedfan.sys
Address: 0xF7B58000 Size: 5248 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\windows\temp\perflib_perfdata_138.dat
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\admin\lokale einstellungen\temp\~dfea6.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\admin\lokale einstellungen\temp\~df184a.tmp
Status: Allocation size mismatch (API: 131072, Raw: 16384)

Path: c:\dokumente und einstellungen\admin\lokale einstellungen\temp\~df9196.tmp
Status: Allocation size mismatch (API: 24576, Raw: 0)

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7d18e5e

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7d18e54

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7d18e63

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7d18e6d

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7d18e72

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7d18e40

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7d18e45

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7d18e7c

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7d18e77

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7d18e68

Stealth Objects
-------------------
Object: Hidden Code [Driver: prodrv06Ѕఈ䵃慖, IRP_MJ_CREATE]
Process: System Address: 0xe1b37c30 Size: 976

Object: Hidden Code [Driver: prodrv06Ѕఈ䵃慖, IRP_MJ_CLOSE]
Process: System Address: 0xe1b37c30 Size: 976

Object: Hidden Code [Driver: prodrv06Ѕఈ䵃慖, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0xe1b37c30 Size: 976

Object: Hidden Code [Driver: prohlp02, IRP_MJ_CREATE]
Process: System Address: 0xe1024ad8 Size: 166

Object: Hidden Code [Driver: prohlp02, IRP_MJ_CLOSE]
Process: System Address: 0xe1024ad8 Size: 166

Object: Hidden Code [Driver: prohlp02, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0xe1024ad8 Size: 166

==EOF==

Der Scan dauert übrigens nicht mal 10min.

LG,
Frank

Du hast recht, das hat leider nicht geklappt. Kannst du mit einer Live-CD umgehen? ;)

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Suche auf sda1 nach den beiden backup.zip-Files von Avenger und lade sie ein letztes Mal bei materialordner.de hoch und verlinke sie hier.
7. Suche in windows/system32/drivers oder in windows/system32 nach lrtoqf.sys und lade die Datei bei Virustotal hoch. Scanne sie dort und poste hier den Ergebnislink.
[PartedMagic bringt Netzwerktreiber mit. Nach Drücken der Windows-Taste hast du Zugriff auf den Chrome-Browser.]
8. Starte den Rechner neu und boote Windows.

Hallo Franz,

das mit der Live-CD hast du mir ausreichend erklärt, damit ich das wohl hinkriegen werde. Das Image stelle ich dann auch gleich her. Ich hätte da nur noch zwei Fragen:
Nachdem die zips immer "leer" sind und auch manuelle Versuche, die files in die zips zu kriegen, bisher gescheitert sind, denke ich, dass avenger ebenfalls nicht in der Lage war, die files zu den zips hinzuzufügen. Die files (CVHW.dll und xoszyleu.job) liegen noch im c:\avenger-Ordner. sollte ich die auch unter Linux bei Virustotal anschauen lassen?
Kann ich die o.g. beiden files auch unter Linux in einen zip-ordner packen und dann unter Linux bzw. XP hochladen?

LG,
Frank

Hallo Franz,

vielen Dank für deine neuen Anweisungen.

Ich habe das mit der Live-CD gerade durchgezogen.

Hier eine paar Anmerkungen (vielleicht kann ich so auch mal einen kleinen Beitrag leisten):
1) Es gibt eine neue Version von PartedMagic (4.10)
2) Der Chrome-Browser öffnet leider nicht durch Drücken der "Windows"-Taste. Man findet ihn unter dem P-Magic-Button (ganz links unten). Hier drauf Linksklick, dann unter Internet. Eine Verbindung konnte ich so leider nicht erhalten. Warum weiß ich nicht; habe auch nicht mehr viel "rumprobiert" (z.B. LAN-Verbindung manuell erstellen).
3) Im "Explorer" von PartedMagic gibt es unter dem Menüpunkt "View" die Option "Show hidden files". Die Einstellung scheint nur für die Linux-files ausschlaggebend zu sein. Für die windows-files konnte ich keinen Effekt feststellen.

Die Suche nach dem lrtoqf.sys-file war leider sowohl in windows\system32 als auch in windows\system32\drivers ergebnislos.
Mangels Internetverbindung konnte ich die beiden files (CVHW.dll und xoszyleu.job) auch auf diesem Weg nicht bei virustotal prüfen lassen. Schade!:heulen:

Dann bin ich aber auf eine "Blöde Idee" gekommen::huepp:
Unter Linux sollten die Zugriffbeschränkungen auf die beiden files (CVHW und xoszyleu) ja aufgehoben sein. Folglich hab ich von den beiden Files zunächst Kopien unter neuem Namen aber mit identischer Endung (dll bzw job) gemacht. Diese Files hab ich dann (unter Linux) in ein zip gepackt. Die Kopien hab ich dann wieder gelöscht. Dann hab ich abermals Kopien von den Files gemacht. Diesmal jedoch mit orginalem Namen aber mit txt als Kennung. Die hab ich auch in einen zip-Ordner gepackt. Die txt-Files hab ich nicht gelöscht, sodass sie mir nun (natürlich ohne Zugriffbeschränkung) unter XP ebenfalls zur Verfügung stehen. Die beiden txt-files hab ich an virustotal gesendet. Ergebnis:

für CVHW.txt
h**p://w*w.virustotal.com/de/analisis/303aa1a8da9e347cc45e4cd48b8420e9ae7b7a80940168cdebe5636e0122c66b-1271102713

für xoszyleu.txt
h**p://w*w.virustotal.com/de/analisis/83b106bbc7b745905b87c369f66e2673d627a679145b4607564a1773dd6fbc93-1271102997

Die Links zu den zips:
die originalen files (geänderter Name; korrekte Endung)
h**p://w*w.materialordner.de/0ORJmAXX9xUtz3sBWGJccqwW6eTlHZSw.html

die txt-files (korrekter Name; txt-Endung)
h**p://w*w.materialordner.de/gSQfwz692QEErQw9pXw1rI2wzmITFg0.html

Vorsicht! Vorsicht! Vorsicht!
Die Files in den zips enthalten möglicherweise die Files ohne eventuelle Modifikationen durch avenger. Ob sie dann "gefährlich" sind/wären kann ich nicht beurteilen. Die Experten sollten das jedoch können.;)

Ich hoffe, Du kannst damit was anfangen und es bringt uns ein Stück voran.

Und nochmals :dankeschoen:

LG,
Frank

:daumenhoc

Lade die CVHW.txt bitte auch hier hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Noch einmal Avenger, mit folgendem Script:

Hallo Franz,

das CVHW.txt-File hab ich auf TB hochgeladen.

Avenger hab ich laufen lassen. Bei der ersten Anmeldung nach dem reboot (von Avenger) hat sich der Rechner bei der Windows-Anmeldung verabschiedet und nochmals neugestartet (dann aber mit Erfolg).

Dem Avenger-log nach zu urteilen, gibt es das zu verschiebende Objekt nicht:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\lrtoqf" not found!
Deletion of driver "lrtoqf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Im backup.zip ist auch nix enthalten (nur die alten files und alle alten zip-Ordner; Avenger scheint einfach alle files unter c:\avenger in das backup.zip zu packen). Ich hab das backup.zip daher auch garnicht hochgeladen.

LG,
Frank

1.) Lösche die backup.zip des Avenger.
2.) Bemühe den Avenger noch einmal (ich habe nämlich etwas vergessen :o)
3.) Update AntiVir, mache einen Full-Scan und poste das Logfile.
4.) Update Malwarebytes, mache einen Full-Scan und poste das Logfile.

Achte bitte auf die Reihenfolge. Avenger muss als erstes laufen, sonst kann u.U. das Ergebnis verfälscht werden. Wenn die Scans nichts mehr ergeben, wirst du erst mal entlassen.

Hallo Franz,

das Vorgehen mit Avenger verlief ähnlich wie der vorherige Versuch:
erst "Doppelneustart" und dann ein backup-zip ohne die lrtoqf-Datei

Hier das log-file:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\lrtoqf" not found!
Deletion of driver "lrtoqf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\lrtoqf.sys" not found!
Deletion of driver "lrtoqf.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Ich habe daher das backup-zip nicht hochgeladen.
Scheinbar gibt es das File tatsächlich nicht mehr. Gefunden haben wir es damals ja mit gmer. Ich mache daher

1) Full-scan mit upgedatetem Antivir 10 mit den aggressiven Einstellungen nalog zu w*w.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html; sollten versteckte Datein gefunden werden und auf die Rescue-CD verwiesen werden, werde ich den scan trotzdem durchziehen; dann poste ich das log.

2) Full-scan mit upgedatetem Malwarebytes und poste das log.

3) Scan mit gmer und poste das log.

Die Full-scans werden vermutlich einige Zeit brauchen :kaffee:; ich lass es daher gleich über Nacht laufen.

LG und nochmals :dankeschoen:,
Frank

Hallo Franz,

den Full-scan mit aggressiven Einstellungen konnte ich leider so nicht durchführen. Der PC hat ca. 3 Tage gescannt und irgendwie dreht man sich dabei dann im Kreis. Ich hab daher die Standardeinstellungen gewählt.

Antivir-Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 16. April 2010 09:37

Es wird nach 2008243 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.91 2048 Bytes 15.04.2010 07:23:13
VBASE015.VDF : 7.10.6.92 2048 Bytes 15.04.2010 07:23:13
VBASE016.VDF : 7.10.6.93 2048 Bytes 15.04.2010 07:23:13
VBASE017.VDF : 7.10.6.94 2048 Bytes 15.04.2010 07:23:13
VBASE018.VDF : 7.10.6.95 2048 Bytes 15.04.2010 07:23:13
VBASE019.VDF : 7.10.6.96 2048 Bytes 15.04.2010 07:23:13
VBASE020.VDF : 7.10.6.97 2048 Bytes 15.04.2010 07:23:13
VBASE021.VDF : 7.10.6.98 2048 Bytes 15.04.2010 07:23:13
VBASE022.VDF : 7.10.6.99 2048 Bytes 15.04.2010 07:23:13
VBASE023.VDF : 7.10.6.100 2048 Bytes 15.04.2010 07:23:14
VBASE024.VDF : 7.10.6.101 2048 Bytes 15.04.2010 07:23:14
VBASE025.VDF : 7.10.6.102 2048 Bytes 15.04.2010 07:23:14
VBASE026.VDF : 7.10.6.103 2048 Bytes 15.04.2010 07:23:14
VBASE027.VDF : 7.10.6.104 2048 Bytes 15.04.2010 07:23:14
VBASE028.VDF : 7.10.6.105 2048 Bytes 15.04.2010 07:23:14
VBASE029.VDF : 7.10.6.106 2048 Bytes 15.04.2010 07:23:14
VBASE030.VDF : 7.10.6.107 2048 Bytes 15.04.2010 07:23:14
VBASE031.VDF : 7.10.6.110 35840 Bytes 15.04.2010 07:23:14
Engineversion : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 01.04.2010 14:25:36
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 16.04.2010 07:23:32
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.2.1 254323 Bytes 01.04.2010 14:25:36
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.1.0 393587 Bytes 01.04.2010 14:25:36
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.0.3 53618 Bytes 01.04.2010 14:25:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 16. April 2010 09:37

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\repair\backup\servicestate\configdirectory\internet.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\tempkey.log
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\userdiff
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\userdiff.log
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\appevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\secevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\sysevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\windowspowershell.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsdata
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsreg
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
\Driver\atapi
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pando.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '543' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP SOFTWARE>
Beginne mit der Suche in 'D:\' <XP DATEN>
Beginne mit der Suche in 'E:\' <SPIELE>
Beginne mit der Suche in 'F:\' <BACKUP>


Ende des Suchlaufs: Freitag, 16. April 2010 10:28
Benötigte Zeit: 51:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6004 Verzeichnisse wurden überprüft
303980 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
303980 Dateien ohne Befall
1471 Archive wurden durchsucht
0 Warnungen
0 Hinweise
377397 Objekte wurden beim Rootkitscan durchsucht
18 Versteckte Objekte wurden gefunden

und das log-file von Malwarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3994

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.04.2010 11:11:27
mbam-log-2010-04-16 (11-11-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 198487
Laufzeit: 35 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


hier noch gmer-log:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-16 17:38:02
Windows 5.1.2600 Service Pack 3
Running: gbz96wox.exe; Driver: C:\DOKUME~1\ADMIN\LOKALE~1\Temp\fgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT F7C70FC6 ZwCreateKey
SSDT F7C70FBC ZwCreateThread
SSDT F7C70FCB ZwDeleteKey
SSDT F7C70FD5 ZwDeleteValueKey
SSDT F7C70FDA ZwLoadKey
SSDT F7C70FA8 ZwOpenProcess
SSDT F7C70FAD ZwOpenThread
SSDT F7C70FE4 ZwReplaceKey
SSDT F7C70FDF ZwRestoreKey
SSDT F7C70FD0 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF610C380, 0x550AF5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[2044] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\Programme\Pando Networks\Pando\Pando.exe[3272] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}

---- Devices - GMER 1.0.15 ----

Device \Driver\prodrv06 \Device\ProDrv06 E1BD4008
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-1b prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-13 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-7 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E160D330
Device \Driver\USBSTOR \Device\00000079 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\0000007a sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- EOF - GMER 1.0.15 ----

und log von osam:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:27:07 on 17.04.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Daily 1).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Daily 2).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Daily 3).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Daily 4).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"Ad-Aware Update (Weekly).job" - ? - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (File not found)
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl (File signed by Microsoft | File found, but it contains no detailed information)
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"plugincpl140_04.cpl" - "Sun Microsystems" - C:\WINDOWS\system32\plugincpl140_04.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.4.5.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"cdenable" (cdenable) - ? - C:\WINDOWS\System32\Drivers\cdenable.sys (File found, but it contains no detailed information)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"DDC/CI monitor" (pdiddcci) - "Portrait Displays, Inc." - C:\WINDOWS\System32\DRIVERS\pdiddcci.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver" (RTLWUSB) - ? - C:\WINDOWS\System32\DRIVERS\wg111v2.sys (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"Pivot" (Pivot) - "Portrait Displays, Inc." - C:\WINDOWS\System32\drivers\pivot.sys
"Pivot Mouse/Pointers Filter Driver" (pivotmou) - "Portrait Displays, Inc." - C:\WINDOWS\system32\drivers\pivotmou.sys
"Portrait Displays low level device driver" (PdiPorts) - "Portrait Displays, Inc." - C:\WINDOWS\System32\Drivers\PdiPorts.sys
"speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Environment Driver v6" (prodrv06) - "Protection Technology" - C:\WINDOWS\System32\drivers\prodrv06.sys
"StarForce Protection Helper Driver" (sfhlp01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection Helper Driver v2" (prohlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\prohlp02.sys
"StarForce Protection Synchronization Driver (version 2.x)" (sfsync02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfsync02.sys
"StarForce Protection Synchronization Driver v1" (prosync1) - "Protection Technology" - C:\WINDOWS\System32\drivers\prosync1.sys
"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{CF184AD3-CDCB-4168-A3F7-8E447D129300} "CZipHandler Object" - "Hewlett-Packard Company" - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} "Eudora's Shell Extension" - ? - (File not found | COM-object registry key not found)
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
"CorelDRAW Shell Extension Component" - ? - (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} "Eudora's Shell Extension" - ? - (File not found | COM-object registry key not found)
{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech, Inc." - C:\Programme\Logitech\SetPoint\kbcplext.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{B9B9F083-2B04-452A-8691-83694AC1037B} "LogiExt Class" - "Logitech, Inc." - C:\Programme\Logitech\SetPoint\mcplext.dll
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{654D0431-C930-43C4-B8DA-9AA01BA5B486} "PDI GUI Engine COM Obj" - "Portrait Displays, Inc" - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HtmlEngine.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\realplayer\rpshell.dll
{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "{21FA44EF-376D-4D53-9B0F-8A89D3229068}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{106E49CF-797A-11D2-81A2-00E02C015623} "AlternaTIFF ActiveX" - "Medical Informatics Engineering, Inc." - C:\WINDOWS\Downloaded Program Files\alttiff.ocx / hxxp://www.alternatiff.com/install-ie/alttiff.cab
{6B75345B-AA36-438A-BBE6-4078B4C6984D} "HpProductDetection Class" - "Hewlett-Packard" - C:\Programme\HP\Common\HPDeviceDetection.dll / hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
{A796D216-2DE1-4EA8-BABB-FE6E7C959098} "HPSDDX Class" - "Hewlett-Packard Company" - C:\WINDOWS\Downloaded Program Files\sdd.dll / hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{5ED80217-570B-4DA9-BF44-BE107C0EC166} "Windows Live Safety Center Base Module" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\wlscBase.dll / hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab
{CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} "{CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Acrobat Speed Launcher.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Logitech SetPoint.lnk" - "Logitech, Inc." - C:\Programme\Logitech\SetPoint\SetPoint.exe (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists)
"AutoStart IR.lnk" - "Hauppauge Computer Works" - C:\Programme\WinTV\Ir.exe (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ADMIN\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Pando" - "Pando Networks" - C:\Programme\Pando Networks\Pando\Pando.exe /Minimized
"updateMgr" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_1_0 -reboot 1
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 7.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"DT HPW" - "Portrait Displays, Inc" - C:\Programme\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
"Gainward" - "Palit Microsystems, Inc." - C:\Programme\VDOTool\TBPanel.exe /A
"HP Component Manager" - "Hewlett-Packard Company" - "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
"HP Software Update" - "Hewlett-Packard" - "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe
"LGODDFU" - ? - C:\Programme\lg_fwupdate\fwupdate.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - ? - nwiz.exe /installquiet (File not found)
"PivotSoftware" - "Portrait Displays, Inc." - "C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe"
"RemoteControl" - "Cyberlink Corp." - "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
"Start WingMan Profiler" - "Logitech Inc." - C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"NetGear Print Server" - ? - C:\WINDOWS\system32\prtserv.dll (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Logitech Bluetooth Service" (LBTServ) - "Logitech, Inc." - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Portrait Displays Display Tune Service" (DTSRVC) - ? - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe (File found, but it contains no detailed information)
"Ulead Burning Helper" (UleadBurningHelper) - "Ulead Systems, Inc." - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"LBTWlgn" - "Logitech, Inc." - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Wäre schön, wenn Du da bei Gelegenheit drüberschauen kannst.:dankeschoen:

Bis dann,LG,
Frank

Hallo Franz,

die Warnung von Antivir hinsichtlich atapi hat mich nicht in Ruhe gelassen.
Ich habe daher meine c:\windows\system32\drivers\atapi.sys bei virustotal auswerten lassen:

h**p://w*w.virustotal.com/de/analisis/b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9-1271507202

angeblich (laut esafe): Win32.Rootkit

hab auch hier im forum was dazu gefunden:
h**p://w*w.trojaner-board.de/82985-rootkit-problem-wie-krieg-ich-de-dreck-weg-5.html

Ist das ein "falscher Alarm", oder hab ich da doch was gefunden?

Danke schon mal für deine Antwort.

LG,
Frank

Deine atapi.sys ist ok. Das ist ablesbar an dem md5-Wert, den du unterhalb des Virustotal-Ergebnisses findest und den du mit dem Wert einer sauberen Datei vergleichen kannst.

Wir können noch einen kurzen Scan dazu machen, der ganz schnell geht und für den du auch nichts downloaden musst: ;)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Die übrigen Scans (OSAM, Malwarebytes, GMER) sind in Ordnung, nur zu dem AntiVir-Logfile muss ich noch was recherchieren. Inder Zwischenzeit solltest du dich um Updates einiger deiner Programme kümmern:
Adobe - Adobe Reader herunterladen - Alle Versionen (aktuell ist Version 9.3)
Java-Downloads für alle Betriebssysteme - Sun Microsystems (aktuell ist Update 20, alle alten Java-Versionen zuvor über die Systemsteuerung deinstallieren!)

Hallo Franz,

nochmals vielen Dank für deine Analyse.
Ich hatte in den letzten Tage einiges um die Ohren, daher hat meine Antwort leider etwas gedauert.

Den scan mit OTL hab ich gemacht; ein extra.txt hat es leider nicht ergeben.
Hier die OTL.txt:

OTL logfile created on: 20.04.2010 17:47:03 - Run 2
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\ADMIN\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,23 Gb Free Space | 59,47% Space Free | Partition Type: NTFS
Drive D: | 37,26 Gb Total Space | 33,06 Gb Free Space | 88,72% Space Free | Partition Type: NTFS
Drive E: | 39,06 Gb Total Space | 38,01 Gb Free Space | 97,32% Space Free | Partition Type: NTFS
Drive F: | 75,43 Gb Total Space | 69,53 Gb Free Space | 92,18% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,93 Gb Total Space | 1,93 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: LUCY
Current User Name: ADMIN
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Minimal
Quick Scan

========== Processes (SafeList) ==========

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\VDOTool\TBPANEL.exe (Palit Microsystems, Inc.)
PRC - C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
PRC - C:\Programme\Portrait Displays\HP My Display\dthtml.exe (Portrait Displays, Inc)
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe (Portrait Displays Inc.)
PRC - C:\Programme\Portrait Displays\Pivot Software\Floater.exe ()
PRC - C:\Programme\Portrait Displays\Pivot Software\wpCtrl.exe ()
PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
PRC - C:\WINDOWS\system32\VTTimer.exe (S3 Graphics, Inc.)
PRC - C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\lg_fwupdate\fwupdate.exe (CST)
PRC - C:\Programme\HP\hpcoretech\comp\hptskmgr.exe (Hewlett-Packard Company)
PRC - C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
PRC - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
PRC - C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd.exe (Hewlett-Packard)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation)
MOD - C:\Programme\Logitech\SetPoint\lgscroll.dll (Logitech, Inc.)
MOD - C:\Programme\Portrait Displays\Pivot Software\Winphook.dll ()


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (SNMP) -- C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (DTSRVC) -- C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
SRV - (InCDsrv) -- C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
SRV - (SimpTcp) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)
SRV - (LPDSVC) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2010.03.17 13:00:18 | 000,000,176 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe (Portrait Displays, Inc)
O4 - HKLM..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe (Palit Microsystems, Inc.)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe (CST)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [PivotSoftware] C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe ()
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [S3Trayp] C:\WINDOWS\System32\S3Trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKCU..\Run: [Pando] C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} hxxp://www.alternatiff.com/install-ie/alttiff.cab (AlternaTIFF ActiveX)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199617933373 (WUWebControl Class)
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab (HpProductDetection Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222965640696 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab (HPSDDX Class)
O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.184.161 83.169.184.225
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.06 09:48:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk H:\
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2008.01.06 09:48:09 | 000,000,000 | ---D | M]
NetSvcs: Iprip - C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902053519425536)

========== Files/Folders - Created Within 14 Days ==========

[2010.04.16 09:36:14 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ADMIN\Recent
[2010.04.13 14:33:22 | 000,000,000 | ---D | C] -- C:\Avenger_FP
[2010.04.11 20:46:56 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.09 19:56:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.04.07 17:57:13 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.03.01 09:36:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2010.02.09 19:15:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.02.09 19:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.11.20 20:20:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2009.08.02 21:15:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 14:01:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 09:48:11 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 14 Days ==========

[2010.04.20 17:49:34 | 000,000,559 | ---- | M] () -- C:\WINDOWS\DFC.INI
[2010.04.20 17:40:43 | 001,082,570 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.20 17:40:43 | 000,474,806 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.20 17:40:43 | 000,433,698 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.20 17:40:43 | 000,090,588 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.20 17:40:43 | 000,067,984 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.20 17:40:13 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
[2010.04.20 17:40:07 | 000,267,725 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.04.20 17:40:01 | 000,000,255 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
[2010.04.20 17:39:45 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.20 17:39:44 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.20 17:39:44 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.20 17:36:36 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.20 17:36:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.20 17:36:31 | 1072,156,672 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.17 15:33:48 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2010.04.17 15:33:48 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2010.04.17 15:25:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.17 14:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.04.16 17:19:06 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.16 11:12:23 | 000,000,215 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2010.04.15 08:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.04.15 02:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.04.14 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.04.12 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.04.12 13:47:17 | 000,000,073 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\file.bat
[2010.04.12 13:45:18 | 000,077,312 | ---- | M] () -- C:\mbr.exe
[2010.04.11 20:46:59 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.07 22:44:15 | 000,078,336 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:29:38 | 000,286,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.07 14:23:00 | 000,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:20 | 000,244,736 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:53 | 000,484,352 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.12 13:47:17 | 000,000,073 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\file.bat
[2010.04.12 13:45:18 | 000,077,312 | ---- | C] () -- C:\mbr.exe
[2010.04.07 22:44:15 | 000,078,336 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:23:00 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:19 | 000,244,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:52 | 000,484,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[2009.09.14 17:55:11 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.06.20 19:58:19 | 000,000,179 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup.log
[2009.06.20 19:58:12 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup_ldm.iss
[2008.05.31 13:35:13 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.04.06 18:17:30 | 000,000,600 | ---- | C] () -- C:\WINDOWS\Rtcw.INI
[2008.04.06 17:47:16 | 000,040,960 | ---- | C] () -- C:\Programme\Uninstall_CDS.exe
[2008.04.06 17:46:07 | 000,000,255 | ---- | C] () -- C:\WINDOWS\lgfwup.ini
[2008.03.29 18:57:26 | 000,002,304 | ---- | C] () -- C:\WINDOWS\System32\Machnm32.sys
[2008.03.29 17:56:24 | 000,000,559 | ---- | C] () -- C:\WINDOWS\DFC.INI
[2008.02.17 13:08:06 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.16 16:37:01 | 000,000,769 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\.plugin140_04.trace
[2008.02.16 16:36:36 | 000,045,164 | ---- | C] () -- C:\WINDOWS\System32\ActPanel.dll
[2008.01.13 20:55:15 | 000,009,299 | ---- | C] () -- C:\WINDOWS\hpdj5600.ini
[2008.01.13 16:39:50 | 000,299,454 | ---- | C] () -- C:\WINDOWS\Allsim.ini
[2008.01.13 16:39:49 | 000,061,268 | ---- | C] () -- C:\WINDOWS\Biutilsm.ini
[2008.01.13 16:39:49 | 000,057,969 | ---- | C] () -- C:\WINDOWS\Simsim.ini
[2008.01.13 16:39:49 | 000,000,580 | ---- | C] () -- C:\WINDOWS\Common.ini
[2008.01.13 16:39:43 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\Prtserv.dll
[2008.01.13 14:41:07 | 000,000,215 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2008.01.13 14:13:03 | 000,000,248 | ---- | C] () -- C:\WINDOWS\HCWBlast.ini
[2008.01.13 14:11:55 | 000,004,027 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2008.01.13 13:31:46 | 000,000,215 | ---- | C] () -- C:\WINDOWS\nanoPEG.ini
[2008.01.13 13:27:39 | 000,000,349 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2008.01.13 13:27:22 | 000,029,998 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008.01.13 13:27:16 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2008.01.12 21:53:17 | 000,000,811 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Eudora.lnk
[2008.01.12 19:38:30 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2008.01.12 18:37:52 | 000,000,447 | ---- | C] () -- C:\WINDOWS\Chem3D.INI
[2008.01.12 18:18:12 | 000,006,112 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdenable.sys
[2008.01.12 17:30:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.01.06 13:40:16 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2008.01.06 13:00:56 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.01.06 10:14:01 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2008.01.06 10:08:47 | 002,465,280 | ---- | C] () -- C:\WINDOWS\System32\s3gcil_inv.dll
[2008.01.06 10:05:11 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2008.01.06 10:05:04 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2008.01.06 09:52:03 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.dat.LOG
[2008.01.06 09:52:03 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2008.01.06 09:52:02 | 004,980,736 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2007.11.28 10:45:31 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.07.21 16:50:34 | 000,066,048 | ---- | C] () -- C:\WINDOWS\System32\hcwXDS.dll
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys

========== LOP Check ==========

[2009.02.16 18:57:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\ChemOffice2004
[2008.03.29 18:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\DisplayTune
[2008.01.12 21:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Qualcomm
[2008.01.13 13:43:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Ulead Systems
[2008.08.01 17:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Windows Desktop Search
[2009.04.02 19:41:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Windows Search
[2010.04.07 13:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\WinTrack
[2008.11.09 12:08:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
[2008.03.31 21:21:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
[2008.01.13 13:43:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.12.07 15:01:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.04.14 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 1).job
[2010.04.15 02:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 2).job
[2010.04.15 08:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 3).job
[2010.04.17 14:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 4).job
[2010.04.12 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*.exe >
[2010.04.12 13:45:18 | 000,077,312 | ---- | M] () -- C:\mbr.exe


< MD5 for: AGP440.SYS >
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
[2004.08.04 08:07:41 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\$NtServicePackUninstall$\agp440.sys

< MD5 for: ATAPI.SYS >
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.01.06 13:50:25 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys
[2008.05.08 22:32:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 07:59:42 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 07:59:42 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys

< MD5 for: EVENTLOG.DLL >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 09:57:18 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll

< MD5 for: NETLOGON.DLL >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 09:57:30 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

< MD5 for: SCECLI.DLL >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 09:57:33 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\system32\drivers\*.sys /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2008.01.06 10:37:03 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2008.01.06 10:37:03 | 000,634,880 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2008.01.06 10:37:03 | 000,425,984 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
< End of report >


Die Updates für den Adobe Reader und Java werde ich jetzt dann gleich noch machen. Außerdem will ich auf Firefox und Thunderbird umsteigen.

Bin schon gespannt, ob der PC wieder sauber ist (auch hinsichtlich des Anitivir-Scans).

LG,
Frank

Hallo Franz,

gerade eben hat es ein weiteres Problem gegeben:eek::
Antivir hat plötzlich auf den Festplatten d: und f: auf die Datei autorun.inf angeschlagen und den Zugriff geblockt. Damit verbunden war (auf beiden Platten) jeweils das file yjmirb.exe. Dieses wurde von Antivir als TR/Agent.695907 erkannt und entfernt. Auf beiden Platten verblieb jedoch das file khq (größe 0kb) und die autorun.inf. Interessant ist, dass diese "Modifikation" nur auf diesen beiden Partitionen erfolgt ist; wahrscheinlich weil diese beiden Partitionen für Nutzer meines Netzwerks (dieser PC läuft seit dem eigentlichen Problem davon getrennt) freigegeben waren (habs schon geändert).
Die autorun.inf-files sind noch da; hab davon eine Kopie gemacht und bei virustotal analysieren lassen:
Ergebnis: Trojan.AutorunINF.Gen
bzw.

h**p://w*w.virustotal.com/de/analisis/530fb5bdb398ac1dbcbcf51a1d3105149c3ca988b7e9a8a4f06c57157d195af4-1271789995


Das Ganze hatte auch noch eine weitere Auswirkung: Wenn man unter Arbeitsplatz auf diese beiden Partitionen zugreifen will, dann werden sie nicht geöffnet, sondern man wird gefragt mit welchem Programm sie geöffnet werden sollen. Über den Explorer kann man jedoch (noch) zugreifen.

Soll/muß ich dafür ein neues Thema eröffnen, oder können wir das gleich mit "behandeln"?

Schon mal vielen Dank,
LG
Frank

Nein, das machen wir hier; es ist ja ein und derselbe Rechner.
In welchen Pfaden genau?
Wenn du die Datei noch in Quarantäne hast, ab damit zu Virustotal zur genaueren Bestimmung.

Außerdem mach bitte einen Full-Scan mit Malwarebytes nach Aktualisieren der Signaturen. Schließe alles an, was du noch an Sticks, externen Festplatten usw. hast, lass alle Funde entfernen und poste natürlich den Bericht. Poste auch das letzte Avira-Logfile.

Hallo Franz,

es freut mich, dass wir das auch gleich hier durchziehen können.

Das exe-file habe ich leider nicht mehr. Mein Antivir war scheinbar so eingestellt, dass es die Funde gleich entfernt hat:headbang:. Ich habe das aber jetzt geändert, dann hab ich Zukunft wenigstens noch die Möglichkeit die files bei Virustotal auswerten zu lassen.

Hinsichtlich der Pfade siehe folgenden Antivir-Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 20. April 2010 20:32

Es wird nach 2019888 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.565 32097 Bytes 12.04.2010 16:13:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56
VBASE015.VDF : 7.10.6.124 2048 Bytes 19.04.2010 15:41:56
VBASE016.VDF : 7.10.6.125 2048 Bytes 19.04.2010 15:41:56
VBASE017.VDF : 7.10.6.126 2048 Bytes 19.04.2010 15:41:56
VBASE018.VDF : 7.10.6.127 2048 Bytes 19.04.2010 15:41:56
VBASE019.VDF : 7.10.6.128 2048 Bytes 19.04.2010 15:41:56
VBASE020.VDF : 7.10.6.129 2048 Bytes 19.04.2010 15:41:56
VBASE021.VDF : 7.10.6.130 2048 Bytes 19.04.2010 15:41:56
VBASE022.VDF : 7.10.6.131 2048 Bytes 19.04.2010 15:41:56
VBASE023.VDF : 7.10.6.132 2048 Bytes 19.04.2010 15:41:56
VBASE024.VDF : 7.10.6.133 2048 Bytes 19.04.2010 15:41:56
VBASE025.VDF : 7.10.6.134 2048 Bytes 19.04.2010 15:41:56
VBASE026.VDF : 7.10.6.135 2048 Bytes 19.04.2010 15:41:56
VBASE027.VDF : 7.10.6.136 2048 Bytes 19.04.2010 15:41:56
VBASE028.VDF : 7.10.6.137 2048 Bytes 19.04.2010 15:41:56
VBASE029.VDF : 7.10.6.138 2048 Bytes 19.04.2010 15:41:56
VBASE030.VDF : 7.10.6.139 2048 Bytes 19.04.2010 15:41:56
VBASE031.VDF : 7.10.6.144 74752 Bytes 20.04.2010 15:41:56
Engineversion : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 01.04.2010 14:25:36
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 16.04.2010 07:23:32
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.2.1 254323 Bytes 01.04.2010 14:25:36
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.1.0 393587 Bytes 01.04.2010 14:25:36
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.0.3 53618 Bytes 01.04.2010 14:25:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e0d254af\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Dienstag, 20. April 2010 20:32

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\mozilla firefox\firefox.exe
c:\Programme\Mozilla Firefox\firefox.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pando.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'F:\yjmirb.exe'
F:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe'
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
Beginne mit der Suche in 'D:\yjmirb.exe'
D:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907

Beginne mit der Desinfektion:
D:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde gelöscht.
F:\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 20. April 2010 20:36
Benötigte Zeit: 03:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
63 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
60 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
3 Hinweise
47841 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.


In den Verzeichnisse d:\ und f:\ befindet sich jeweils noch die autorun.inf und die khq-Systemdatei (versteckt, 0kb). In C:\Dokumente und Einstellungen\All Users\Dokumente\ befindet sich nur die khq-Datei aber nicht die autorun.inf.

Den Full-Scan mit Malwarebytes mache ich jetzt gleich; Ergebnis kommt dann sofort im Anschluß.

LG,
Frank

Vorweg eine Nachfrage:
Hattest du zum Zeitpunkt des Avira-Scans, also gestern Abend, den Firefox schon installiert?

Hallo Franz,

zuerst zu deiner Nachfrage:

Entsprechend deinem Rat, habe ich zunächst (mit Hilfe deines Links) den Adobe-Reader auf den neuesten Stand gebracht.
Das Adobe-Paket (Reader, Distiller usw.) kann ich nicht weiter updaten; ich müsste eine neue Lizenz kaufen. Daher werde ich versuchen von diesem Paket weg zu kommen. Kennst du eine gute und sichere Freeware-Software mit der man pdf-files erstellen und bearbeiten (z.B. miteinander verbinden) kann?
Auch das Java-Paket habe ich zunächst deinstalliert und dann (mit Hilfe deines Links) auf den neuesten Stand gebracht.
Anschließend habe ich Firefox (über den Link vom TB) installiert.
Zusätzlich habe ich dann noch Secunia PSI (siehe auch TB) installiert und mein System analysiert.
Auf Thunderbird habe ich verzichtet, da ich von diesem PC keine Emails mehr abrufen will, da ich über seine Sicherheit nichts sagen kann.
Als letztes habe ich gestern noch google-earth bei CHIP heruntergeladen und installiert.
Bei der Benutzung von google-earth hat dann plötzlich Antivir Alarm geschlagen und einen kurzen Scan gemacht -> siehe Antivir-Report.
Es war also kein von mir durchgeführter Scan, sondern der Guard.


Ich habe da auch noch drei Fragen:
1) Ich verstehe nicht, wie die Files auf den PC kommen konnten. War da eines der Downloads infiziert?
2) Unter dem Reiter "Quarantäne" von Malwarebytes ist noch der Trojan.FakeAlert aufgelistet. Was soll ich damit machen?
3) Warum gibt es auch auf der Partition F:\ einen "Windows"-Ordner?

Der Full-Scan mit Malwarebytes ist auch durch:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4016

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.04.2010 17:53:15
mbam-log-2010-04-21 (17-53-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 195674
Laufzeit: 44 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Schon mal :dankeschoen:,
Frank

Wir graben noch mal tiefer:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

* Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

* Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung
* Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
* Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
* Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
* Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Franz,

vielen Dank für deine weitere Hilfe.:applaus:

Ich habe den Scan mit Combofix durchgeführt. Dabei wurde auch etwas gelöscht und der PC dann neugestartet; verlief alles ohne Probleme. Habe während des Scans den Guard von Antivir, Secunia PSI und die Windows-Firewall deaktiviert. Der Antivir-Guard wurde beim Neustart jedoch automatisch reaktiviert. Macht das etwas aus?
Firewall und PSI habe ich nach dem Ende von Combofix wieder aktiviert.

Mir ist aufgefallen, daß Combofix die "khq"-Dateien gelöscht hat (auf d:\ und f:\); das File steht aber auch unter C:\Dokumente und Einstellungen\All Users\Dokumente\ (vgl. Antivir-Report unten) und wurde dort nicht gelöscht. Warum ist dem so?

Hier das log-File:
ComboFix 10-04-21.01 - ADMIN 22.04.2010 14:07:38.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.477 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ADMIN\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\tmp67.tmp
c:\windows\system32\tmp68.tmp
c:\windows\system32\VB6KO.DLL
D:\Autorun.inf
D:\khq
F:\Autorun.inf
F:\khq

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2010-03-22 bis 2010-04-22 ))))))))))))))))))))))))))))))
.

2010-04-20 18:30 . 2010-04-20 18:30 -------- d--h--w- c:\windows\PIF
2010-04-20 18:08 . 2010-04-20 18:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-04-20 16:54 . 2010-04-20 16:54 -------- d-----w- c:\programme\Secunia
2010-04-20 16:51 . 2010-04-20 16:51 0 ----a-w- c:\windows\nsreg.dat
2010-04-20 16:51 . 2010-04-20 16:51 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-04-20 16:25 . 2010-04-20 16:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-20 16:25 . 2010-04-20 16:25 503808 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-622463f7-n\msvcp71.dll
2010-04-20 16:25 . 2010-04-20 16:25 499712 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-622463f7-n\jmc.dll
2010-04-20 16:25 . 2010-04-20 16:25 348160 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-622463f7-n\msvcr71.dll
2010-04-20 16:25 . 2010-04-20 16:25 61440 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7225077d-n\decora-sse.dll
2010-04-20 16:25 . 2010-04-20 16:25 12800 ----a-w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7225077d-n\decora-d3d.dll
2010-04-20 16:25 . 2010-04-20 16:24 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-20 16:24 . 2010-04-20 16:24 -------- d-----w- c:\programme\Java
2010-04-13 12:33 . 2010-04-13 12:33 -------- d-----w- C:\Avenger_FP
2010-04-12 11:45 . 2010-04-12 11:45 77312 ----a-w- C:\mbr.exe
2010-04-04 14:47 . 2010-04-04 14:47 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Avira
2010-04-04 14:47 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-04 14:47 . 2010-02-16 11:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-04 14:47 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-04-04 14:47 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-04-04 14:46 . 2010-04-04 14:46 -------- d-----w- c:\programme\Avira
2010-04-04 14:46 . 2010-04-04 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-04-01 17:13 . 2010-04-01 17:13 388096 ----a-r- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-04-01 17:13 . 2010-04-01 17:13 -------- d-----w- c:\programme\HJT
2010-04-01 16:58 . 2010-04-07 12:47 -------- d-----w- c:\programme\trend micro
2010-04-01 16:58 . 2010-04-01 16:58 -------- d-----w- C:\rsit
2010-04-01 16:32 . 2010-04-01 16:32 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Malwarebytes
2010-04-01 16:32 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-01 16:32 . 2010-04-01 16:42 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-01 16:32 . 2010-04-01 16:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-01 16:32 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-01 16:11 . 2010-04-01 16:11 -------- d-----w- c:\programme\CCleaner
2010-04-01 11:13 . 2010-04-20 18:35 -------- d-----w- c:\windows\system32\NtmsData
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-03-26 16:17 . 2010-03-26 16:17 49152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-03-26 16:17 . 2010-03-26 16:17 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-03-26 16:17 . 2010-03-26 16:17 308808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-03-26 16:17 . 2010-03-26 16:17 40960 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-03-26 16:17 . 2010-03-26 16:17 341600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-03-26 16:17 . 2010-03-26 16:17 14848 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-03-26 16:15 . 2010-03-26 16:15 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 12:15 . 2008-04-06 15:46 -------- d-----w- c:\programme\lg_fwupdate
2010-04-20 18:10 . 2009-11-27 20:16 -------- d-----w- c:\programme\Google
2010-04-20 16:47 . 2008-01-12 17:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-20 16:45 . 2008-01-12 18:03 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\AdobeUM
2010-04-20 16:38 . 2001-08-18 12:00 90588 ----a-w- c:\windows\system32\perfc007.dat
2010-04-20 16:38 . 2001-08-18 12:00 474806 ----a-w- c:\windows\system32\perfh007.dat
2010-04-20 16:13 . 2008-01-06 08:02 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-20 16:11 . 2008-01-06 12:01 83448 ----a-w- c:\dokumente und einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-07 11:49 . 2008-11-15 14:08 -------- d-----w- c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\WinTrack
2010-04-04 14:43 . 2009-11-20 19:00 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-01 19:52 . 2009-11-20 19:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-04-01 19:52 . 2009-11-20 19:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-26 16:17 . 2009-11-27 20:16 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2010-03-26 16:16 . 2009-11-27 20:16 -------- d-----w- c:\programme\Real
2010-03-14 14:02 . 2008-01-06 08:13 -------- d-----w- c:\programme\Fox LiveUpdate
2010-03-11 10:56 . 2008-01-12 18:59 -------- d-----w- c:\programme\SpeedFan
2010-03-10 06:15 . 2001-08-18 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-01 07:28 . 2010-03-01 07:28 -------- d-----w- c:\programme\Pando Networks
2010-02-25 06:15 . 2001-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-18 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2001-08-18 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2001-08-18 04:28 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-06 14:29 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2001-08-18 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2001-08-18 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2004-10-01 13:00 . 2008-04-06 15:47 40960 ----a-w- c:\programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando"="c:\programme\Pando Networks\Pando\Pando.exe" [2010-03-01 4932280]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-20 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2006-06-16 53248]
"S3Trayp"="S3Trayp.exe" [2005-11-01 163840]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-10 188416]
"Gainward"="c:\programme\VDOTool\TBPanel.exe" [2007-11-27 2169368]
"PivotSoftware"="c:\programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 694008]
"DT HPW"="c:\programme\Portrait Displays\HP My Display\DTHtml.exe" [2007-04-25 280064]
"LGODDFU"="c:\programme\lg_fwupdate\fwupdate.exe" [2005-04-12 229376]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 93208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-26 202256]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\ADMIN\Startmen�\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-8-21 900816]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2008-1-12 25214]
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2008-1-13 106551]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-9-17 805392]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2004\\ChemDraw\\ChemDraw.exe"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2004\\Chem3D\\Chem3D.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Programme\\CambridgeSoft\\ChemOffice2004\\ENotebook\\ENotebook8.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Pando Networks\\Pando\\Pando.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56782:TCP"= 56782:TCP:Pando
"56782:UDP"= 56782:UDP:Pando

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.04.2010 16:47 135336]
R2 cdenable;cdenable;c:\windows\system32\drivers\cdenable.sys [12.01.2008 18:18 6112]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.06.2009 14:20 12648]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 19:10 135664]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys --> c:\windows\system32\DRIVERS\wg111v2.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-22 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-04-20 18:08]

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:10]

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:10]

2010-04-22 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-04-16 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\ADMIN\Anwendungsdaten\Mozilla\Firefox\Profiles\a3xon3ls.default\
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1739.5352\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-22 14:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:33,70,19,b8,97,08,e7,12,c9,db,66,07,0b,6a,ee,0e,43,f9,a6,13,a7,ee,a9,
48,63,ce,b4,48,f6,7a,eb,3d,29,ba,4a,b2,0a,01,5a,cb,1b,e4,e4,16,43,3e,a6,50,\
"??"=hex:69,3e,43,58,9f,64,ba,75,fe,6b,77,07,2a,78,dd,74

[HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:0f,64,aa,a4,60,02,d6,9a,04,a8,e9,fd,44,e0,a2,87,66,f1,cf,fe,97,
bb,7c,b2,11,e0,73,c9,94,e3,d0,e6,1e,ad,4c,63,e8,0e,4b,76,ac,13,c3,e5,2a,e6,\
"rkeysecu"=hex:e3,fa,7f,80,fc,7e,c8,67,47,e5,fd,c9,5b,39,90,a4

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\HID\Vid_1241&Pid_1122\7&20715b98&0&0000\LogConf]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(256)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\programme\Portrait Displays\Pivot Software\winphook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Ahead\InCD\InCDsrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\VTTimer.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Portrait Displays\Pivot Software\floater.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
c:\windows\system32\wscntfy.exe
c:\programme\HP\hpcoretech\comp\hptskmgr.exe
c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-22 14:19:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-22 12:19

Vor Suchlauf: 13 Verzeichnis(se), 23.688.630.272 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 23.599.222.784 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - ECF995D321A81E7206FC1B24DFE30D30

LG,
Frank

Schau mal bitte nach dem Ordner c:\qoobox, zippe ihn, lade ihn hoch, poste den Link und sichere den Löschlink (oder schicke ihn mir).

Hallo Franz,

ich habe das zip-File hochgeladen:
h**p://w*w.file-upload.net/download-2457245/Qoobox.zip.html

Den Lösch-Link habe ich gesichert, wenn du ihn benötigst, sende ich ihn dir per PN.

Ich habe auch mal nach den beiden Files vom Typ (tmpxx.tmp) gegoogelt:
Das könnte damit zu tun haben, dass ich auf dem PC mal "Grid" von Codemasters installiert hatte (es lief leider nie richtig). Siehe hierzu auch (Anfang vom vorletzten post):
h**p://w*w.bleepingcomputer.com/forums/lofiversion/index.php/t43051.html%5B/t264740.html

Schon mal vielen Dank.

LG,
Frank

Ok, das sieht ganz gut aus. Den hochgeladenen Ordner lösche jetzt bitte.

Da dein Antivir die ominöse yjmirb.exe gelöscht hat, werden wir nicht mehr erfahren, womit dein Rechner infiziert war.
Zum Abschluss würde ich dir empfehlen, noch einen Durchlauf mit SuperAntispyware und einem Online-Scanner deiner Wahl zu machen (Panda oder F-Secure z.B.).
Wenn wir dort nichts mehr finden, sind wir durch. :)

Hallo Franz,

ob es jetzt auch noch gut aussieht, musst du beurteilen:
Bereits vorab schon mal :dankeschoen:
1) Log des Scans mit Superantispyware:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/24/2010 bei 05:53 PM

Version der Applikation : 4.35.1002

Version der Kern-Datenbank : 4846
Version der Spur-Datenbank : 2658

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:13:01

Gescannte Speicherelemente : 607
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6830
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 93675
Erfasste Datei-Elemente : 0

2) Log des Scans mit Superantispyware im abgesicherten Modus:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/24/2010 bei 08:18 PM

Version der Applikation : 4.35.1002

Version der Kern-Datenbank : 4846
Version der Spur-Datenbank : 2658

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:11:28

Gescannte Speicherelemente : 241
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6865
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 93716
Erfasste Datei-Elemente : 0

3) Log des Scans mit Panda Activescan:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2010-04-24 23:29:56
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 10.0.1.44 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox\quarantine\d\autorun.inf.vir
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox\quarantine\f\autorun.inf.vir
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox.zip[qoobox/quarantine/d/autorun.inf.vir]
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox.zip[qoobox/quarantine/f/autorun.inf.vir]
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No f:\system volume information\_restore{cb7f9f3c-bd33-4b76-a02a-e36882fa8ee8}\rp122\a0029777.inf
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No d:\system volume information\_restore{cb7f9f3c-bd33-4b76-a02a-e36882fa8ee8}\rp122\a0029776.inf
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No d:\kopie von autorun.txt
06162619 Trj/Banbra.GQU Virus/Trojan No 1 Yes No d:\avenger_dl\avenger\avenger.exe
06162619 Trj/Banbra.GQU Virus/Trojan No 1 Yes No d:\avenger_dl\avenger.zip[avenger.exe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No c:\pvr150-cd27\smd\hcwsmd05.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Das file "c:\pvr150-cd27\smd\hcwsmd05.exe" gehört zu einem Tool meiner TV-Karte; ich habe es aber trotzdem bei virustotal auswerten lassen:

h**p://w*w.virustotal.com/de/analisis/e7a73d8e399caffd6175aaedfb002d9f4dba7bfd611358a7168f6af6b94c561f-1272145260

Der "Harakit" könnte in Zusammenhang mit dem ominösen "khq"-File(s) stehen; siehe hier (fast ganz unten):
h**p://w*w.uninstall-spyware.com/uninstallW32Harakit.html




Nochmals vielen Dank.

Bis bald,
Frank

Das kann man so lassen. Die beiden letzten Scans haben nichts neues mehr zutage gefördert, außer Spuren in der Systemwiederherstellung und den Backups von Avenger und Combofix.

1. Deinstalliere Combofix (Start -> Ausführen -> combofix /u eingeben und mit <Enter> bestätigen)
2. Deaktiviere die Systemwiederherstellung, um die dort mitgespeicherten Schädlinge zu löschen. Alle Systemwiederherstellungspunkte gehen verloren! Bei Bedarf kannst du die SWH danach wieder aktivieren.
3. c:\qoobox und die Ordner, in denen sich Avenger-Dateien befinden, würde ich löschen.

Hallo Franz,

leider hat es wieder einige Zeit gedauert, bis ich die Zeit gefunden habe um deine Anweisungen umzusetzen. VIELEN DANK nochmals für deine Unterstützung!

Die aufgefundenen, schädlichen Files (auch in den Ordnern) habe ich unter Linux vorsichtshalber auf einen USB-Stick verschoben und diesen dann "gut weggepackt".

Es hatte ja den Anschein, als ob nun wieder alles in bester Ordnung wäre.
Aber ich befürchte, dass wir uns da getäuscht haben!

Neben deinen Anweisungen habe ich auch noch den PC aufgeräumt (z.B. gmer, OTL und mbr deinstalliert) und die Treiber auf den neuesten Stand gebracht. Während des Downloads eines Treibers hat dann wieder Antivir Alarm geschlagen. Gemeldet wurde ein Trojaner in "yjmirb.exe".

Hier der Report von Antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. April 2010 13:59

Es wird nach 2055714 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 14:47:14
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:54:05
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 11:01:52
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 11:01:52
VBASE019.VDF : 7.10.6.233 2048 Bytes 28.04.2010 11:01:53
VBASE020.VDF : 7.10.6.234 2048 Bytes 28.04.2010 11:01:53
VBASE021.VDF : 7.10.6.235 2048 Bytes 28.04.2010 11:01:53
VBASE022.VDF : 7.10.6.236 2048 Bytes 28.04.2010 11:01:53
VBASE023.VDF : 7.10.6.237 2048 Bytes 28.04.2010 11:01:53
VBASE024.VDF : 7.10.6.238 2048 Bytes 28.04.2010 11:01:53
VBASE025.VDF : 7.10.6.239 2048 Bytes 28.04.2010 11:01:53
VBASE026.VDF : 7.10.6.240 2048 Bytes 28.04.2010 11:01:53
VBASE027.VDF : 7.10.6.241 2048 Bytes 28.04.2010 11:01:53
VBASE028.VDF : 7.10.6.242 2048 Bytes 28.04.2010 11:01:53
VBASE029.VDF : 7.10.6.243 2048 Bytes 28.04.2010 11:01:53
VBASE030.VDF : 7.10.6.244 2048 Bytes 28.04.2010 11:01:53
VBASE031.VDF : 7.10.6.251 102400 Bytes 29.04.2010 11:48:25
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 18:12:29
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 18:12:29
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 18:12:30
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 18:12:27
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:12:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e0dc36e1\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 29. April 2010 13:59

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe'
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d9ad14b.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 29. April 2010 14:02
Benötigte Zeit: 03:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
58 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
57 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
48115 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.


Diese Meldung kommt mir doch sehr bekannt vor (siehe dazu frühere posts in diesem Thema)!
Anders als beim ersten Angriff durch dieses file konnte ich die exe-Datei diesmal in Quarantäne packen.

Interessant ist, dass es beim letztenmal während des Downloads von "Google Earth" und diesmal beim Download eines Treibes passiert ist. Zwischen diesen beiden Ereignissen habe ich jedoch auch schon Downloads (z.B. Panda) durchgeführt, ohne dass es zu einer Meldung gekommen ist.
Langsam habe ich den Verdacht, dass sich auf meinem PC noch irgendetwas verbergen muss, das immer wieder versucht, mir beim Runterladen von erwünschten files zusätzlich malware zu installieren. Wäre dies möglich?

Die Datei aus der Quarantäne habe ich bei virustotal auswerten lassen:

h**p://w*w.virustotal.com/de/analisis/182b1552d582cdde5619f2b07817941a36d5eb56c5f531cc816cd3ff725a8aa8-1272544845

Ich würde mich freuen, wenn du dich (wieder bzw. weiter) "meiner annehmen würdest", und mir entsprechende Anweisungen geben kannst.:dankeschoen:

LG,
Frank

Erst mal sorry für den Doppel-Post.

Hallo Franz,

hier noch ein Nachtrag (der eigentliche post ließ sich nicht mehr editieren).
Ich habe noch mal einen Vollscan mit Antivir gemacht und es gab weitere Funde.

Irgendwie wird es immer mehr.

Hier der Report:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. April 2010 15:38

Es wird nach 2056463 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 14:47:14
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:54:05
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 11:01:52
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 11:01:52
VBASE019.VDF : 7.10.6.233 2048 Bytes 28.04.2010 11:01:53
VBASE020.VDF : 7.10.6.234 2048 Bytes 28.04.2010 11:01:53
VBASE021.VDF : 7.10.6.235 2048 Bytes 28.04.2010 11:01:53
VBASE022.VDF : 7.10.6.236 2048 Bytes 28.04.2010 11:01:53
VBASE023.VDF : 7.10.6.237 2048 Bytes 28.04.2010 11:01:53
VBASE024.VDF : 7.10.6.238 2048 Bytes 28.04.2010 11:01:53
VBASE025.VDF : 7.10.6.239 2048 Bytes 28.04.2010 11:01:53
VBASE026.VDF : 7.10.6.240 2048 Bytes 28.04.2010 11:01:53
VBASE027.VDF : 7.10.6.241 2048 Bytes 28.04.2010 11:01:53
VBASE028.VDF : 7.10.6.242 2048 Bytes 28.04.2010 11:01:53
VBASE029.VDF : 7.10.6.243 2048 Bytes 28.04.2010 11:01:53
VBASE030.VDF : 7.10.6.244 2048 Bytes 28.04.2010 11:01:53
VBASE031.VDF : 7.10.6.252 111616 Bytes 29.04.2010 13:36:49
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 18:12:29
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 18:12:29
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 18:12:30
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 18:12:27
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:12:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 29. April 2010 15:38

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '547' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP SOFTWARE>
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
Beginne mit der Suche in 'D:\' <XP DATEN>
Beginne mit der Suche in 'E:\' <SPIELE>
Beginne mit der Suche in 'F:\' <BACKUP>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4edb0503.qua' verschoben!
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '564c2aa5.qua' verschoben!
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04667050.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 29. April 2010 17:09
Benötigte Zeit: 1:27:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12908 Verzeichnisse wurden überprüft
552429 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
552423 Dateien ohne Befall
3043 Archive wurden durchsucht
0 Warnungen
3 Hinweise
391171 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

LG,
Frank

Hallo Frank,
diese Funde sehen so aus, als hättest du zusätzlich noch einen Online-Scan mit F-Secure gemacht. Hast du?
Wenn ja: Es kommt vor, dass dein Hintergrund-Wächter (AntiVir) Alarm schlägt, wenn ein anderer Scanner auf deinem Rechner aktiv wird und, wie in diesem Fall, eigene temporäre Dateien ablegt. (Dies ist auch der Grund dafür, dass man niemals zwei Hintergrund-Wächter gleichzeitig aktivieren sollte.)
Falls nötig, deinstalliere den F-Secure-Scanner über die Systemsteuerung und lösche mit dem CCleaner alle temporären Dateien in allen Pfaden, dann sollte der Spuk eigentlich vorbei sein. :)

Zu dem anderen Spuk, der yjmirb.exe:
Möglich ja, aber eigentlich hatten wir das ausgeschlossen... :confused:
Hast du Google Earth und den Treiber direkt von den Hersteller-Seiten heruntergeladen? Hast du inzwischen den Rechner wieder an dein Heimnetzwerk angeschlossen oder Wechselmedien angesteckt? Es ist ja auch möglich, dass die Infektion von einem deiner anderen Rechner kommt.

Hallo Franz,

zunächst erst mal vielen Dank, dass du weiter "dran bleibst".

Zu deinen Fragen:

F-Secure:
Ja, ich habe neben dem Scan mit Panda auch einen mit F-Secure gemacht (ebenfalls ohne Funde). Die Files können daher Reste von F-Secure sein (ehrlich gesagt dachte ich, dass es nur ein Onlinescanner ist und keine Reste bleiben würden).
Ich kann auch keine Installation von F-Secure mehr finden (weder unter "alle Programme" noch in der Systemsteuerung).
Ich habe daher C-Cleaner laufen lassen und den Bereich nochmals mit Antivir gescannt. Ist jetzt ohne Befund/Beanstandung.

Google earth:
Habe es nicht von der Herstellerseite, sondern bei CHIP runtergeladen. Kann man CHIP als Quelle nicht (mehr) vertrauen?

Treiber:
Auf diesen Download hatte ich selbst keinen direkten Einfluß. Mit dem Board (das Orginalboard habe ich mal ersetzt, um eine andere CPU nutzen zu können) des PCs wurde eine Software (Fox LiveUpdate) mitgeliefert, mit deren Hilfe man nach Updates für die Boardkomponeten suchen und diese ggf. auch updaten kann.
Dieses Prozedere habe ich durchgeführt (Treiber für Onboard-LAN sollte erneuert werden) und dabei wurde dann "yjmirb.exe" gefunden und diesmal von Antivir das File in Quarantäne genommen.

Heimnetzwerk:
Der Rechner hatte schon länger (auch vor der Infektion) keinen Kontakt mehr mit anderen PCs.
Es bestand keine Netzwerkverbindung und es wurden keine Daten (über Sticks, CDs usw.) ausgetauscht.
Der betroffene PC wird fast ausschließlich als reines "Arbeitstier" (für chemische Berechnungen mittels "Gaussian") genutzt.
Wenn man dann dabei mal auf das nahe Ende einer Berechnung warten musste bzw. eine Berechnung überwachte, dann wurde auch das Internet benutzt und ggf. Emails abgerufen
(sowohl direkt auf der gmx-Homepage als auch via Outlook).
Zur näheren Erklärung der aktuellen Situation: Ich habe Internet über Kabel-Deutschland. Dieser PC geht seit Bekanntwerden der Infektion direkt per LAN-Kabel an den Router/Splitter ins Internet.
Alle anderen PCs nutzen W-LAN. Der W-LAN-Router kann nur alternativ zum direkten LAN-Kabel genutzt/angeschlossen werden. Es ist daher nicht möglich mit irgendeinem anderen PC ins Internet zu gehen, wenn der betroffene PC das Internet nutzt. Eine Übertragung von Daten zwischen den anderen PCs und dem betroffenen Rechner ist daher auszuschließen.

Wechselmedien:
Wie ich dir geschrieben hatte, wurde mit dem PC immer nur ein bestimmter USB-Stick benutzt. Dieser war während der gesamten bisherigen Bereinigung angeschlossen. Dieser hat auch eine "autorun.inf" drauf.
Diese haben wir aber analysiert und festgestellt, daß sie nur zur Anzeige des Symbols dient.
Um die ganzen "verdächtigen" Dateien und Ordner sicherheitshalber aufzubewahren, habe ich einen anderen USB-Stick benutzt. Dieser war "nagelneu" aus der verschweißten Packung entnommen und wurde nur während der Verwendung der Linux-Live-CD angesteckt. Bei der Verwendung unter Linux habe ich den USB-Stick zunächst geöffnet; er war völlig leer. Noch unter Linux hab ich den Stick dann abgemeldet und dann sofort sicher weggepackt.


Der erste Fund hinsichtlich "yjmirb.exe" geschah, als ich Google Earth heruntergeladen/installiert habe. Damals hat Antivir Alarm geschlagen und den Schädling sofort gelöscht.
Der jetzige, zweite Fund hinsichtlich "yjmirb.exe" erfolgte, als ich die Treiber für meine Onbord-LAN-Karte heruntergeladen/installiert habe (s.o.).


Um gleich alle Bedenken zu zerschlagen; von diesem PC wurde (mit Ausnahme vom TB) nichts mehr genutzt, das irgendwie sensibel wäre (also keine Passwörter, gmx, Paypal usw.).


Um das Problem näher zu untersuchen, habe ich mal einiges versucht:
- Google Earth (mit Google Updater), Adobe Reader 9.x, Java und Secunia PSI deinstalliert.
- PC neugestartet und dann mit C-Cleaner bereinigt.
- Antivir-Update (war schon auf neuestem Stand).
- TB geöffnet (in Firefox; nicht am TB angemeldet)
- Deinem Link zu Java-Updates (im Firefox) gefolgt und Java als Onlinevariante installiert und Installation mit Hilfe der Java-Homepage überprüft. Alles i.O. keine Meldungen.
- Deinem Link zu Adobe Raeder (im Firefox) gefolgt und Reader 9.3 installiert. Reader geöffnet und geupdatet. PC neugestartet.
- Nochmal Reader gestartet und nochmals nach Updates gesucht. Keine weiteren Updates vorhanden. Alles i.O. keine Meldungen.
- Wie damals nach "Google Earth Chip" (diesmal im Firefox; bin nicht mehr sicher, ob es damals nicht im IE war) gegoogelt und dem ersten Link auf w*w.chip.de/downloads/Google-Earth_13015193.html
gefolgt und dann installiert. Google Earth gestartet. Alles i.O. keine Meldungen.

Also hat es diesmal keine Antivir-Meldungen gegeben.
Da ich leider nicht mehr sicher bin, ob ich damals "Google Earth" nicht unter IE gesucht und installiert habe, habe ich es wieder deinstalliert. Mit C-Cleaner bereinigt. Den letzten Schritt der obigen Liste unter IE wiederholt. Alles i.O. keine Meldungen.

Fazit: Die Sache mit der "yjmirb.exe" ist bisher zweimal aufgetreten. Sie ist jedoch nicht so einfach reproduzierbar. D.h. sie kommt nicht bei jedem Download automatisch mit.
Aus meiner Sicht ergibt das irgendwie keinen richtigen Sinn, wenn man annimmt, daß es auf dem PC irgendeinen Schädling gibt, der dieses "Zusatzdownload" veranlasst.
Aus meiner Laien-Sicht könnte ich mir aber folgendes Szenario vorstellen: Jemand hat sich "von außen" einen Zugang zu meinem PC gelegt und kann diesen nutzen wann immer der PC im Internet ist.
Je nach Gusto wird dann versucht, mir bei einem beliebigen Download auch noch irgendeine Schadsoftware mitzuschicken.
Ist sowas denkbar?

Hat es ggf. mit irgendwelchen offenen Ports zu tun, die ich einfach wieder schließen kann? Ich denke da an Ports die von "Pando" benutzt werden. Habe "Pando" bisher benutzt, um mit ehemaligen Kollegen an verschiedenen Unis größere Outputs von Berechnungen und Varianten für unsere Rechensoftware auszutauschen.

Kannst du mir sagen, was die "yjmirb.exe" kann bzw. bezwecken sollte?

Was kann ich weiter tun?
Ist es unumgänglich, den PC neu aufzusetzen und dabei auch gleich alle Partitionen zu formatieren?

Entschuldige bitte, wenn dieser post so lang/ausführlich war, aber ich wollte einfach mal alles zusammenfassen, um vieleicht den entscheidenden Hinweis für eine
Bereinigung zu liefern.

Vielen Dank, daß du bereits so viel DEINER Zeit in MEIN Problem investiert hast. :dankeschoen: :daumenhoc

LG,
Frank

Doch, sollte man können. Man soll zwar immer grundsätzlich direkt beim Hersteller laden, aber dass Anbieter wie CHIP Schädlinge unter's Volk bringen, kann man ausschließen.
Ist dieser Router NAT-fähig ("Hardware-Firewall")? Schau mal bitte ins Handbuch. War/ist die "Hardware-Firewall" eingeschaltet? Wenn nein: War/ist die Windows-Firewall aktiv?
Das Prinzip (Backdoor auf dem Rechner, die als Einfallstor für weiteren Schädlings-Download dient) ist denkbar.
Ein Schädling, der auf deinem Rechner sitzt und nach Hause telefonieren will, der öffnet sich schon seine Ports. Auf deine Mithilfe ist er dabei nicht angewiesen. ;)
Das ist immer die sicherste Variante. Wenn wir den Grund der Neuinfektion nicht finden können, werde ich dir das auch empfehlen. Aber zunächst beantworte bitte meine Fragen bzgl. des Routers.

Hallo Franz,

hier die Antworten auf deine Fragen:

Hardware-Firewall:
Ob das Bauteil tatsächlich eine Funktionalität als Router hat, kann ich nicht beurteilen. Es sorgt für die Trennung des Anschlusses in Telefonleitungen und Internetzugang via LAN-Port (der Hersteller "Thomson" bezeichnet es als "Residential VOIP Modem"). Im Handbuch ist zum Thema Firewall nichts zu finden. Das Bauteil hat eine IP und man kann dort eine Art Administration aufrufen. In dieser ist aber auch nichts hinsichtlich Firewall zu finden.

Windows-Firewall:
Die Firewall ist an und war mit einer Ausnahme auch immer an. Ausnahme: Während des Scans mit ComboFix war sie entsprechend der Anleitung aus.
Es sind jedoch einige Ausnahmen eingetragen.

Bereits vorab
Vielen Dank!

LG,
Frank