Trojaner-Board - Antimalware Doctor startet immer wieder neu

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antimalware Doctor startet immer wieder neu (https://www.trojaner-board.de/86802-antimalware-doctor-startet-immer-neu.html)

Antimalware Doctor startet immer wieder neu

Hallo,
ich bin hier echt am verzweifeln.
Ich habe mir diesen antimalware doctor irgendwie gefangen
und habe schon sämtliche Foren etc durchsucht...
Hier im Forum habe ich alles nach Anleitung gemacht , nur das Problem ist das, wenn der Virus weg ist, er beim Neustart wieder da ist... außerdem wird so ein Fenster eingeblendet:" RUNDLL das angegebene
modul blablabla wurde nicht gefunden"
danke schon ma
im vorraus

Hallo,

Zitat:

modul blablabla wurde nicht gefunden"

Was soll "blablabla"? Wieso kannst Du nicht die exakten Meldungen posten?

warte hier ein bild im anhang
das erste kommt beim neustarten des PCs, das zweite wenn ich firefox beende.

Bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

OK danke das du dich um den Fall kümmerst:rolleyes:
ich werde den log heute abend posten glaub ich

Also irgendwie komme ich zu nichts, wenn ich auf vollscan mache springt mir immer antivir dazwischen (s.anhang) und wenn malwarebytes den ordner
I:/support/eadm/eadm-installer untersucht reagiert das Programm nicht mehr.
Bei einem Quickscan funktioniert normalerweise immer alles

Deaktivier AntiVir dann solange (Regenschirm schließen)

Bei mir reagiert Malwarebytes nicht mehr, wenn es irgendetwas auf Festplatte I:/ absucht.
Hier sind wenigstens schon mal die Quickscanergebnisse:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.06.2010 17:07:45
mbam-log-2010-06-07 (17-07-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 115893
Laufzeit: 3 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hier im Anhang die OTL-logs

Funktioniert der Vollscan wenn AntiVir inaktiv ist? Ich will lieber Vollscans sehen.

Ich probier es noch einmal, wie gesagt wenn Malwarebytes auf Festplatte I:/ sucht reagiert dsa program nicht mehr. Liegt es vielleicht daran das ich rkill aktiviert habe?

Was ist Laufwerk i:?

z.B: Dursuche zur Zeit
I:\Geb\neuer Ordner\...

und dann bleibt der Prozess stehen und es gibt keine rückmeldung

Das beantwortet nicht meine Frage. Was ist Laufwerk I:??
CDROM, ext. Platte, Stick?

Das ist eine externe Laufplatte und heute Abend kam jetzt dies nach einiger Zeit

Zitat:

Zitat von Söse96 (Beitrag 531391)

Das ist eine externe Laufplatte und heute Abend kam jetzt dies nach einiger Zeit

Eine Laufplatte? Wasndas? :lach:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

SRV - (gusvc) --  File not found

O4 - HKLM..\Run: [KMConfig] C:\Programme\Multimedia Keyboard Driver\V5\StartAutorun.exe KMConfig.exe File not found

O4 - HKLM..\Run: [MChk] C:\WINDOWS\system32\ootjiugd.exe ()

O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)

O4 - HKLM..\Run: [skb]  File not found

O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)

O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)

O4 - HKCU..\Run: [gotnewupdate000.exe] C:\Dokumente und Einstellungen\Söse\Anwendungsdaten\9B8D9A2652B90924D72F12D3BA84E062\gotnewupdate000.exe ()
 

:Files

C:\Dokumente und Einstellungen\Söse\Anwendungsdaten\9B8D9A2652B90924D72F12D3BA84E062

C:\WINDOWS\System32\jgdqtneynwu.exe

C:\WINDOWS\System32\gmpppnyw.dll

C:\WINDOWS\System32\ootjiugd.exe
 

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

nochmal danke für die hilfe. Ist der Virus jetzt weg ?
hier der LOg

____________________________________________________
All processes killed
========== OTL ==========
Service gusvc stopped successfully!
Service gusvc deleted successfully!
File File not found not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KMConfig deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MChk deleted successfully.
C:\WINDOWS\system32\ootjiugd.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NeroFilterCheck deleted successfully.
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\StartCCC deleted successfully.
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ZoneAlarm Client deleted successfully.
File move failed. C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\gotnewupdate000.exe deleted successfully.
C:\Dokumente und Einstellungen\Söse\Anwendungsdaten\9B8D9A2652B90924D72F12D3BA84E062\gotnewupdate000.exe moved successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\Söse\Anwendungsdaten\9B8D9A2652B90924D72F12D3BA84E062 folder moved successfully.
C:\WINDOWS\System32\jgdqtneynwu.exe moved successfully.
C:\WINDOWS\System32\gmpppnyw.dll moved successfully.
File\Folder C:\WINDOWS\System32\ootjiugd.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 760476 bytes
->Flash cache emptied: 872 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 405 bytes

User: Söse
->Temp folder emptied: 5342859743 bytes
->Temporary Internet Files folder emptied: 1743455 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 86604754 bytes
->Flash cache emptied: 2142 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 96846015 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5.275,00 mb

OTL by OldTimer - Version 3.2.5.3 log created on 06092010_154416

Files\Folders moved on Reboot...
File move failed. C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe scheduled to be moved on reboot.
File\Folder C:\WINDOWS\temp\ZLT00ec2.TMP not found!
File\Folder C:\WINDOWS\temp\ZLT03f64.TMP not found!

Registry entries deleted on Reboot...

Ok. Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code:

ComboFix 10-06-08.05 - Söse 09.06.2010  16:13:09.1.2 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2618 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Söse\Desktop\cofi.exe.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Söse\Lokale Einstellungen\Anwendungsdaten\oflttdk.dat

c:\dokumente und einstellungen\Söse\Lokale Einstellungen\Anwendungsdaten\oflttdk_nav.dat

c:\dokumente und einstellungen\Söse\Lokale Einstellungen\Anwendungsdaten\oflttdk_navps.dat

c:\windows\system32\VB6KO.DLL
 

Infizierte Kopie von c:\windows\system32\drivers\kbdclass.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_SVCHOST
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-05-09 bis 2010-06-09  ))))))))))))))))))))))))))))))

.
 

2010-06-09 13:44 . 2010-06-09 13:44        --------        d-----w-        C:\_OTL

2010-06-05 09:21 . 2010-06-05 09:21        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData

2010-06-05 09:08 . 2010-06-05 09:08        --------        d-----w-        c:\programme\$NtUninstallWTF1012$
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-09 14:19 . 2009-07-31 19:52        710688        --sha-w-        c:\windows\system32\drivers\fidbox.dat

2010-06-09 14:19 . 2009-07-31 19:52        10424        --sha-w-        c:\windows\system32\drivers\fidbox.idx

2010-05-23 15:11 . 2009-09-04 11:01        7141210        ------w-        c:\windows\Internet Logs\tvDebug.zip

2010-05-13 19:29 . 2010-03-02 16:10        92280        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

2010-05-09 15:02 . 2010-05-09 15:02        286720        ----a-w-        c:\windows\iun506.exe

2010-05-07 18:29 . 2009-07-31 19:49        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-05-07 16:51 . 2010-03-20 20:47        413696        ----a-w-        c:\windows\system32\wrap_oal.dll

2010-05-07 16:51 . 2010-03-20 20:47        110592        ----a-w-        c:\windows\system32\OpenAL32.dll

2010-05-07 16:33 . 2010-05-07 16:33        --------        d-----w-        c:\programme\NeutronGames

2010-05-02 08:12 . 2009-12-25 13:58        43520        ----a-w-        c:\windows\system32\CmdLineExt03.dll

2010-04-29 13:39 . 2010-03-16 14:04        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-03-16 14:03        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-23 12:41 . 2010-04-23 12:41        0        ----a-w-        C:\unpacked.bin

2009-05-26 07:26 . 2009-05-26 07:26        97336        ----a-w-        c:\programme\bass.dll

2009-05-26 07:26 . 2009-05-26 07:26        623616        ----a-w-        c:\programme\No23 Recorder.exe

2009-05-26 07:26 . 2009-05-26 07:26        13872        ----a-w-        c:\programme\basscd.dll

2009-05-26 07:26 . 2009-05-26 07:26        102912        ----a-w-        c:\programme\CDRip.dll

2009-04-09 15:08 . 2009-04-09 15:08        1476        ----a-w-        c:\programme\RecConfig.xml

2001-02-28 23:15 . 2009-08-03 14:56        488864        ----a-w-        c:\programme\SETUPSTD.EXE

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]

2009-05-21 14:21        429784        ----a-w-        c:\programme\kikin\ie_kikin.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-30 39408]

"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2009-02-17 17508864]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Google Quick Search Box"="c:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-30 122880]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-4 110592]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=

"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\World Cup History.exe"=

"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2010\\pes2010.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.07.2009 21:49 108289]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [14.09.2009 19:23 222456]

R2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programme\Multimedia Keyboard Driver\V5\KMWDSrv.exe [08.05.2007 17:00 2179072]

R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.02.2010 12:54 135664]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [31.07.2009 17:51 1684736]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [16.03.2010 16:04 38224]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\h:\ntglm7x.sys --> h:\NTGLM7X.sys [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - lacxz9ij

.

Inhalt des "geplante Tasks" Ordners
 

2010-06-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-06 10:54]
 

2010-06-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-06 10:54]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MI1933~1\Office10\EXCEL.EXE/3000

IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll

DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://93.83.76.170:60003/activex/AMC.cab

FF - ProfilePath - c:\dokumente und einstellungen\Söse\Anwendungsdaten\Mozilla\Firefox\Profiles\r9bljavj.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.handball-challenge.com/

FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\programme\Microsoft Silverlight\npctrl.1.0.20926.0.dll

FF - plugin: c:\programme\Veetle\Player\npvlc.dll

FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll

FF - plugin: c:\programme\Veetle\VLCBroadcast\npvbp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

BHO-{18D7F9B5-A771-4561-9CEC-2086EB693F0F} - (no file)

BHO-{EF525F8B-738E-4441-6D3A-E4E5E489A263} - (no file)
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-06-09 16:21

Windows 5.1.2600 Service Pack 3 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-57989841-879983540-682003330-1004\Software\SecuROM\License information*]

"datasecu"=hex:b8,af,89,25,cf,c4,32,fa,c1,ab,2f,3a,11,b8,f6,a4,f7,b1,b9,d5,8f,

   72,d2,1e,52,4f,cd,17,c8,0b,5b,20,5e,b2,12,c2,41,0a,98,4d,ca,a3,9a,cf,fb,f4,\

"rkeysecu"=hex:e0,ca,f5,ac,12,b0,11,2d,4c,06,42,41,5b,37,d8,48

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(728)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-06-09  16:25:19 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-06-09 14:25
 

Vor Suchlauf: 21 Verzeichnis(se), 358.618.923.008 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 358.774.112.256 Bytes frei
 

- - End Of File - - 161F73DC4D61E2D9466D6BE5DED0E371

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führt nur OSAM aus

Bei mir bekoimmt osam iwie keine Verbindung wenn es die online datenbank abfragt

Das mit der Online-Datenbank brauchst Du nicht!

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 17:24:01 on 09.06.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.6.3
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL

"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ati2mtag" (ati2mtag) - "ATI Technologies Inc." - C:\WINDOWS\System32\DRIVERS\ati2mtag.sys

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\cofi.exe\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"GMSIPCI" (GMSIPCI) - ? - H:\INSTALL\GMSIPCI.SYS  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lacxz9ij" (lacxz9ij) - "LaCie Limited" - C:\WINDOWS\system32\drivers\lacxz9ij.sys

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbamswissarmy.sys

"MSICPL" (MSICPL) - ? - H:\install4\MSICPL.sys  (File not found)

"NTACCESS" (NTACCESS) - ? - H:\NTACCESS.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"SetupNTGLM7X" (SetupNTGLM7X) - ? - H:\NTGLM7X.sys  (File not found)

"srescan" (srescan) - "Zone Labs, LLC" - C:\WINDOWS\System32\ZoneLabs\srescan.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\System32\vsdatant.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{FBF23B40-E3F0-101B-8488-00AA003E56F8} "Internetverknüpfung" - ? - C:\WINDOWS\system32\ieframe.dll  (File not found)

{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682} "IZArc DragDrop Menu" - ? -   (File not found | COM-object registry key not found)

{BC593DF5-466F-44EC-8FFD-C4DBC603B917} "IZArc Shell Context Menu" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

{D9872D13-7651-4471-9EEE-F0A00218BEBB} "ZLAVShExt Class" - "Zone Labs, LLC" - C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----

{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

{D0C0F75C-683A-4390-A791-1ACFD5599AB8} "Oberon Flash Game Host" - "Oberon Media, Inc." - C:\WINDOWS\Downloaded Program Files\OberonGameHost.dll / hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

{DE625294-70E6-45ED-B895-CFFA13AEB044} "{DE625294-70E6-45ED-B895-CFFA13AEB044}" - ? -   (File not found | COM-object registry key not found) / hxxp://93.83.76.170:60003/activex/AMC.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{E601996F-E400-41CA-804B-CD6373A7EEE2} "ClsidExtension" - "kikin" - C:\Programme\kikin\ie_kikin.dll

"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

{E601996F-E400-41CA-804B-CD6373A7EEE2} "kikin Plugin" - "kikin" - C:\Programme\kikin\ie_kikin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"Adobe Gamma Loader.exe.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe  (Shortcut exists | File exists)

"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI

"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\Söse\Startmenü\Programme\Autostart\DESKTOP.INI

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

"TomTomHOME.exe" - "TomTom" - "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"Google Quick Search Box" - "Google Inc." - "C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe"  /autorun

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Ati HotKey Poller" (Ati HotKey Poller) - "ATI Technologies Inc." - C:\WINDOWS\system32\Ati2evxx.exe

"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Keyboard And Mouse Communication Service" (KMWDSERVICE) - "UASSOFT.COM" - C:\Programme\Multimedia Keyboard Driver\V5\KMWDSrv.exe

"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

"TomTomHOMEService" (TomTomHOMEService) - "TomTom" - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

"TrueVector Internet Monitor" (vsmon) - "Zone Labs, LLC" - C:\WINDOWS\system32\ZONELABS\vsmon.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"AtiExtEvent" - "ATI Technologies Inc." - C:\WINDOWS\system32\Ati2evxx.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

C:\WINDOWS\system32\drivers\lacxz9ij.sys

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

a-squared 5.0.0.26 2010.06.10 Rootkit.Win32.Mediyes!IK
AhnLab-V3 2010.06.10.02 2010.06.10 -
AntiVir 8.2.2.6 2010.06.10 -
Antiy-AVL 2.0.3.7 2010.06.08 Trojan/Win32.Mediyes.gen
Authentium 5.2.0.5 2010.06.10 W32/Mediyes.A.gen!Eldorado
Avast 4.8.1351.0 2010.06.10 -
Avast5 5.0.332.0 2010.06.10 -
AVG 9.0.0.787 2010.06.10 -
BitDefender 7.2 2010.06.10 -
CAT-QuickHeal 10.00 2010.06.10 Rootkit.Mediyes.aj
ClamAV 0.96.0.3-git 2010.06.10 -
Comodo 5051 2010.06.10 -
DrWeb 5.0.2.03300 2010.06.10 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7625 2010.06.10 -
F-Prot 4.6.0.103 2010.06.09 W32/Mediyes.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.06.10 -
Fortinet 4.1.133.0 2010.06.10 -
GData 21 2010.06.10 -
Ikarus T3.1.1.84.0 2010.06.10 Rootkit.Win32.Mediyes
Jiangmin 13.0.900 2010.06.10 Rootkit.Mediyes.e
Kaspersky 7.0.0.125 2010.06.10 -
McAfee 5.400.0.1158 2010.06.10 -
McAfee-GW-Edition 2010.1 2010.06.10 -
Microsoft 1.5802 2010.06.10 -
NOD32 5187 2010.06.10 a variant of Win32/Mediyes.B
Norman 6.04.12 2010.06.10 -
nProtect 2010-06-10.01 2010.06.10 -
Panda 10.0.2.7 2010.06.08 -
PCTools 7.0.3.5 2010.06.10 -
Prevx 3.0 2010.06.10 -
Rising 22.51.03.05 2010.06.10 -
Sophos 4.54.0 2010.06.10 Sus/UnkPack-C
Sunbelt 6429 2010.06.10 -
Symantec 20101.1.0.89 2010.06.10 -
TheHacker 6.5.2.0.296 2010.06.10 -
TrendMicro 9.120.0.1004 2010.06.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.10 -
VBA32 3.12.12.5 2010.06.10 -
ViRobot 2010.6.10.3879 2010.06.10 -
VirusBuster 5.0.27.0 2010.06.09 -
weitere Informationen
File size: 402560 bytes
MD5...: 8408e39f2deacdf44c035129a4e44e49
SHA1..: cf6d829c16964b5a7b1b083bcf6c1fe27aff33bb
SHA256: c04348fcd0d320622aa0f4d874b1f054fa7919324d2089adf51d13b6406be8d5
ssdeep: 12288:ia5NUA7bKJZFeanRAD2rLuusSVoDz0C4To:L5KJXet2uuaDwLTo
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x60c3e
timedatestamp.....: 0x4be11922 (Wed May 05 07:07:14 2010)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xb393 0xb400 6.59 21c26ae646d41aa7653e279c91505acd
.rdata 0xb880 0x5466c 0x54680 7.99 35fbe811860e9ae23d774ec4c95493f1
.data 0x5ff00 0xcfc 0xd00 0.28 7acb064c18b7d2850a209b0a1eed407d
INIT 0x60c00 0x58c 0x600 5.36 f4d576bbd6f7c0681339d8352e741806
.rsrc 0x61200 0x2b8 0x300 2.95 6bc0216dc85453895c580dcc3e909a77
.reloc 0x61500 0xf7e 0xf80 5.03 57d5c6765823ba3dbb214026e6dfe26d

( 2 imports )
> ntoskrnl.exe: RtlInitUnicodeString, _allmul, _alldiv, ExRaiseStatus, ExAllocatePoolWithTagPriority, ExFreePoolWithTag, ZwQueryInformationProcess, RtlCompareUnicodeString, KeReleaseMutex, KeWaitForSingleObject, ZwEnumerateKey, ZwDeleteKey, ZwOpenKey, wcsncat, memset, IoDeleteDevice, KeDetachProcess, KeAttachProcess, PsLookupProcessByProcessId, ExAllocatePoolWithTag, KeInitializeMutex, memcpy, MmGetSystemRoutineAddress, RtlCopyUnicodeString, ZwOpenProcess, ZwQueryValueKey, ZwSetValueKey, ZwLoadDriver, ZwCreateKey, ZwReadFile, ZwCreateFile, ZwSetInformationFile, ZwWriteFile, ZwQueryInformationFile, ZwQueryVolumeInformationFile, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, swprintf, SeCreateClientSecurity, KeGetCurrentThread, KeQuerySystemTime, sprintf, RtlImageDirectoryEntryToData, RtlImageNtHeader, ZwUnmapViewOfSection, ZwMapViewOfSection, ZwCreateSection, KeTickCount, KeBugCheckEx, ObfDereferenceObject, ZwClose, RtlUnwind
> HAL.dll: KeGetCurrentIrql

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: LaCie Limited
copyright....: (c) 2009 LaCie Ltd.
product......: LaCie USB Support
description..: LaCie USB Support
original name: n/a
internal name: n/a
file version.: 3.2.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

C:\WINDOWS\system32\drivers\lacxz9ij.sys
 

drivers to delete:

lacxz9ij

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

so hier schonmal der Log, irgendwie musste ich windows neu registrieren. Ist da normal?

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\drivers\lacxz9ij.sys" deleted successfully.
Driver "lacxz9ij" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hxxp://www.file-upload.net/download-2588713/backup.zip.html

Ok, hab die Datei.
Was ist mit GMER?

stürtzt imma hab, also bleibt stehn

Ok, dann lassen wir es weg.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So, wie immer bleibt malwarebytes bei festplatte I stehn...

Dann i: bitte von der Prüfung ausschließen.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4188

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.06.2010 18:02:01
mbam-log-2010-06-11 (18-02-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 295718
Laufzeit: 18 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{66019095-99D1-4E82-BEE5-590E248B6FCB}\RP129\A0037940.exe (Trojan.PWS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{66019095-99D1-4E82-BEE5-590E248B6FCB}\RP129\A0037941.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{66019095-99D1-4E82-BEE5-590E248B6FCB}\RP143\A0041003.dll (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{66019095-99D1-4E82-BEE5-590E248B6FCB}\RP145\A0042675.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06092010_154416\C_WINDOWS\system32\ootjiugd.exe (Adware.Lifze) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06092010_154416\C_WINDOWS\system32\jgdqtneynwu.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06092010_154416\C_WINDOWS\system32\gmpppnyw.dll (Adware.Lifze) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06092010_154416\C_Dokumente und Einstellungen\Söse\Anwendungsdaten\9B8D9A2652B90924D72F12D3BA84E062\gotnewupdate000.exe (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/13/2010 at 11:17 AM

Application Version : 4.38.1004

Core Rules Database Version : 4951
Trace Rules Database Version: 2763

Scan type : Complete Scan
Total Scan Time : 01:24:32

Memory items scanned : 428
Memory threats detected : 0
Registry items scanned : 5708
Registry threats detected : 0
File items scanned : 203056
File threats detected : 7

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Söse\Cookies\söse@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Söse\Cookies\söse@html[1].txt
C:\Dokumente und Einstellungen\Söse\Cookies\söse@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Söse\Cookies\söse@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Söse\Cookies\söse@doubleclick[1].txt
C:\Dokumente und Einstellungen\Söse\Cookies\söse@atwola[1].txt

Trojan.Agent/Gen-FakeAlert[Local]
C:\PROGRAMME\EA SPORTS\FIFA 09\DATA\GFXPAK.EXE

Da wurde nur Überbleibsel, harmlose Cookies und die Dateien gefunden, die wir mit OTL gelöscht hatten - Rechner sonst wieder soweit ok?

jo , nochmal vielen Dank...
Deine Arbeit ist echt gut und wenn man hier irgendwo
auf danke drücken könnte würd ich es tun...

Zitat:

auf danke drücken könnte würd ich es tun...

Du kannst spenden wenn Du möchtest!! :)

Auf jeden Fall solltest Du jetzt mal die Updates prüfen, denn Dir fehlt da min. der IE8!!

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ich benutze zZ firefox, ist es dann sinnvoll ie8 zu installieren...
foxit hab ich eh und die anderen sachen werd ich sofort updaten .
Danke für die Tipps:party:

Ja, IE ist ein Systembestandteil => updaten!!

hab alles gemacht:daumenhoc