Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" (https://www.trojaner-board.de/88112-worm-rbot-425984-c-windows-system32-smss-exe.html)

no-one 13.07.2010 11:04
"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"
 
Hallo,
ich hatte einen Ipod an meinen PC angeschlossen, und als ich auf ihn über den Explorer zugreifen wollte, kam von AntiVir die Meldung, dass ein Virus gefunden wurde, namens: "WORM/Rbot.425984". Er befindet sich in "C:\WINDOWS\system32†\smss.exe", wobei das † für ein Leerzeichen steht (glaube ich)

Kann mir vielleicht jemand helfen, wie ich ihn wieder runterbekomme?

Hier das Hijackthis Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:46, on 13.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32†\smss.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\test.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32†\smss.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260483543062
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4787 bytes
laut der hijackthis Website ist vor allem dies der Schädling: "C:\WINDOWS\system32†\smss.exe". Ist das Richtig, und wenn ja, was mach ich um ihn komplett vom System zu entfernen?

Ich hoffe ich hab alle Infos über den Wurm geben können, wenn nicht, bitte einfach nachfragen.

Vielen dank im Voraus für eure Hilfe!!! :)

gruß,
no-one

ps: Jedes mal wenn ich Firefox oder AntiVir öffne, meldet sich Antivir erneut und meckert. Ausserdem konnte ich Hijackthis.exe nicht öffnen, erst, anchdem ich es in test.com umbenannt habe. Vielleicht ist das auch noch wichtig...

cosinus 13.07.2010 14:50
Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

no-one 13.07.2010 16:23
Also, erstmal Vielen Dank für die schnelle Antwort :) Ich hoffe das Problem ist lösbar...


Erstmal OLT:

1) ich konnte die .exe nicht ausführen, hab sie in abc.com umgenannt und dann ging's, ich hoffe das ist ok?

2) bei bestimmten Dateien kommt ein antivir popup und sag, dass dieser wurm wieder erkannt wurde und in dem Moment macht OTL nicht weiter. wenn ich dann auf "in Quarantäne verschieben klicke", macht OLT danach weiter.


hier die Logfiles:

OTL.txt:

OTL Logfile:
Code:
OTL logfile created on: 13.07.2010 17:11:33 - Run 1
OTL by OldTimer - Version 3.2.9.0    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 703,00 Mb Available Physical Memory | 69,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 114,47 Gb Free Space | 89,43% Space Free | Partition Type: NTFS
Drive D: | 152,66 Gb Total Space | 19,72 Gb Free Space | 12,92% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 337,77 Gb Total Space | 301,79 Gb Free Space | 89,35% Space Free | Partition Type: NTFS
Drive I: | 408,13 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive K: | 639,09 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: xxx
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\abc.com (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\WINDOWS\system32*\smss.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\WINDOWS\htpatch.exe ()
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\abc.com (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntmgr) -- C:\WINDOWS\SYSTEM32\DRIVERS\avgntmgr.sys (Avira GmbH)
DRV - (avgntdd) -- C:\WINDOWS\system32\drivers\avgntdd.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (atapi) -- C:\WINDOWS\System32\DRIVERS\atapi.sys ()
DRV - (imagesrv) -- C:\WINDOWS\system32\DRIVERS\imagesrv.sys (Ahead Software AG)
DRV - (imagedrv) -- C:\WINDOWS\System32\Drivers\imagedrv.sys (Ahead Software AG)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (a347bus) -- C:\WINDOWS\system32\DRIVERS\a347bus.sys ( )
DRV - (a347scsi) -- C:\WINDOWS\System32\Drivers\a347scsi.sys ( )
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (SISAGP) -- C:\WINDOWS\System32\DRIVERS\SISAGPX.sys (Silicon Integrated Systems Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "about:blank"
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.11 00:26:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.12 17:10:28 | 000,000,000 | ---D | M]
 
[2010.03.05 12:18:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.03.05 12:18:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.03.05 14:03:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\extensions
[2010.01.10 13:16:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.12.11 00:17:28 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.11.03 04:14:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.11.03 04:14:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.03 04:14:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.03 04:14:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.03 04:14:39 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2002.06.27 18:30:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
O4 - HKLM..\Run: [HTpatch] C:\WINDOWS\htpatch.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe (Nero AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260483543062 (WUWebControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} h**p://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\h**p\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h**p\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h**ps\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h**ps\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32*\smss.exe) - C:\WINDOWS\system32*\smss.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.10 22:50:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.12.10 21:17:54 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2002.10.07 00:01:00 | 000,000,045 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O32 - AutoRun File - [2003.03.21 02:04:00 | 000,000,310 | R--- | M] () - K:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{45b2c09e-8e61-11df-8605-000b6a236603}\Shell\Autoplay\command - "" = drivecheck.exe
O33 - MountPoints2\{45b2c09e-8e61-11df-8605-000b6a236603}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{45b2c09e-8e61-11df-8605-000b6a236603}\Shell\explore\Command - "" = drivecheck.exe
O33 - MountPoints2\{45b2c09e-8e61-11df-8605-000b6a236603}\Shell\Open\Command - "" = drivecheck.exe
O33 - MountPoints2\I\Shell - "" = AutoRun
O33 - MountPoints2\I\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\AnnoFinder.exe -- [2002.10.07 00:01:00 | 000,036,864 | R--- | M] ()
O33 - MountPoints2\K\Shell - "" = AutoRun
O33 - MountPoints2\K\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\AnnoFinder.exe -- [2003.03.21 02:04:00 | 000,036,864 | R--- | M] ()
O33 - MountPoints2\K\Shell\DirectX\command - "" = K:\DirectX\Redist\DirectX81\dxsetup.exe -- [2003.03.21 02:04:00 | 000,140,288 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\K\Shell\GameSpy\command - "" = K:\GameSpy\ArcadeInstallANNO1503AD111.EXE -- [2003.03.21 02:04:00 | 004,841,995 | R--- | M] ()
O33 - MountPoints2\K\Shell\Setup\command - "" = K:\Setup.exe -- [2003.03.21 02:04:00 | 000,054,784 | R--- | M] (InstallShield Software Corporation)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "C:\WINDOWS\system32*\smss.exe" "%1" %* ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "C:\WINDOWS\system32*\smss.exe" "%1" %* ()
 
========== Files/Folders - Created Within 30 Days ==========
 
File not found -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\smss.exe
[2010.07.13 17:06:31 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\abc.com
[2010.07.13 17:06:29 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\xxx\Desktop\mbam-setup.exe
[2010.07.13 11:31:23 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\xxx\Desktop\HJTInstall.exe
[2010.07.13 11:30:57 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.07.12 17:25:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.07.12 17:13:42 | 000,000,000 | -HSD | C] -- C:\WINDOWS\system32
[2010.07.12 17:11:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Apple Computer
[2010.07.12 17:11:18 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- C:\WINDOWS\System32\GEARAspi.dll
[2010.07.12 17:10:47 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.07.12 17:10:42 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.07.12 17:10:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.07.12 17:10:07 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.07.12 17:10:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
[2010.07.12 17:09:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.07.12 17:09:58 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2010.07.12 17:09:51 | 003,062,048 | ---- | C] (Apple, Inc.) -- C:\WINDOWS\System32\usbaaplrc.dll
[2010.07.12 17:09:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2010.07.12 17:09:37 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.07.12 17:09:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2010.07.12 17:09:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2010.07.12 17:09:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2010.07.08 21:11:09 | 000,000,000 | ---D | C] -- C:\Programme\ANNO 1503
[2010.07.04 11:33:11 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.07.04 11:32:50 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.07.04 11:32:23 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.06.25 00:03:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Alcohol 120%
[2010.02.03 15:02:38 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys
[2010.02.03 15:02:38 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.13 17:04:45 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.13 17:04:21 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.13 17:04:19 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.13 17:00:26 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\xxx\Desktop\mbam-setup.exe
[2010.07.13 12:38:34 | 001,835,008 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat
[2010.07.13 12:38:34 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.13 11:37:07 | 003,184,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.13 11:31:39 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.lnk
[2010.07.10 16:14:06 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\abc.com
[2010.07.09 08:32:54 | 000,095,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.07.08 23:32:30 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.07.08 23:31:07 | 000,000,351 | ---- | M] () -- C:\WINDOWS\System\cmicnfg.ini
[2010.07.08 21:26:22 | 000,996,448 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.08 21:26:22 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.08 21:26:22 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.08 21:26:22 | 000,080,104 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.08 21:26:22 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.08 21:14:34 | 000,001,542 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ANNO 1503 spielen.lnk
[2010.07.04 11:31:56 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.06.25 00:11:49 | 000,000,245 | ---- | M] () -- C:\WINDOWS\Clony2.ini
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.13 11:30:58 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.lnk
[2010.07.08 21:14:34 | 000,001,542 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ANNO 1503 spielen.lnk
[2010.06.25 00:08:53 | 000,000,245 | ---- | C] () -- C:\WINDOWS\Clony2.ini
[2010.06.25 00:08:51 | 000,274,944 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\ClonyXXL.exe
[2010.02.09 18:35:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.12.11 07:49:55 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2009.12.11 04:16:02 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\CNMVS58.DLL
[2009.12.11 02:30:20 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.12.11 01:36:08 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\vusetup.dll
[2009.12.11 01:04:28 | 000,000,000 | R--- | C] () -- C:\WINDOWS\System32\drivers\usbhub20.sys
[2009.12.11 00:47:59 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL
[2009.12.11 00:47:59 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys
[2009.12.11 00:37:59 | 000,002,133 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.12.11 00:37:58 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2002.06.27 18:24:12 | 000,096,512 | ---- | C] () -- C:\WINDOWS\System32\drivers\atapi.sys
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 60 bytes -> C:\Dokumente und Einstellungen\All Users\Dokumente\.TemporaryItems:AFP_AfpInfo
< End of report >
--- --- ---



Extras.txt

OTL Logfile:
Code:
OTL Extras logfile created on: 13.07.2010 17:11:33 - Run 1
OTL by OldTimer - Version 3.2.9.0    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 703,00 Mb Available Physical Memory | 69,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 114,47 Gb Free Space | 89,43% Space Free | Partition Type: NTFS
Drive D: | 152,66 Gb Total Space | 19,72 Gb Free Space | 12,92% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 337,77 Gb Total Space | 301,79 Gb Free Space | 89,35% Space Free | Partition Type: NTFS
Drive I: | 408,13 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive K: | 639,09 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: xxx-PC
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.exe [@ = exefile] -- C:\WINDOWS\System32*\smss.exe ()
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "C:\WINDOWS\system32*\smss.exe" "%1" %* ()
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\xxx\Desktop\Battlefield 1942\BF1942.exe" = C:\Dokumente und Einstellungen\xxx\Desktop\Battlefield 1942\BF1942.exe:*:Enabled:BF1942 -- ()
"D:\games\Battlefield 1942\BF1942.exe" = D:\games\Battlefield 1942\BF1942.exe:*:Enabled:BF1942 -- ()
"L:\Applications\PortableApps\SkypePortable\App\Skype\Phone\Skype.exe" = L:\Applications\PortableApps\SkypePortable\App\Skype\Phone\Skype.exe:*:Enabled:Skype  -- File not found
"L:\itunes 7.11\Thinstall\iTunes_v7.1.1_by_MiKiCuN\400000ec600002h\iTunes.exe" = L:\itunes 7.11\Thinstall\iTunes_v7.1.1_by_MiKiCuN\400000ec600002h\iTunes.exe:*:Disabled:iTunes -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\WINDOWS\SYSTEM~1\smss.exe" = C:\WINDOWS\SYSTEM~1\smss.exe:*:Enabled:SMS Services -- ()
"C:\DOKUME~1\xxx\EIGENE~1\smss.exe" = C:\DOKUME~1\xxx\EIGENE~1\smss.exe:*:Enabled:SMS Services -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{951F4D78-5DD8-78A5-09E2-A7411A441031}" = Nero 7 Demo
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BB}" = WinZip 14.0
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E9F81423-211E-46B6-9AE0-38568BC5CF6F}" =           
"{EBBB1DEF-8878-4CB8-BC0D-1196B30E7527}" = ANNO 1503
"{EC1F15E1-F3CC-46EE-B7A5-849A08ED60DC}}_is1" = PantsOff 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"AnyDVD" = AnyDVD
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CloneDVD2" = CloneDVD2
"DVDFab 6_is1" = DVDFab 6.2.1.8 (31/12/2009)
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.5)" = Mozilla Firefox (3.5.5)
"nLite_is1" = nLite 1.4.9.1
"NVIDIA" = NVIDIA Windows 2000/XP Display Drivers
"PCI Audio Driver" = PCI Audio Driver
"PE Builder_is1" = PE Builder 3.1.10a
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinISO_is1" = WinISO 5.3
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 30.12.2009 19:40:04 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00460043.
 
Error - 05.03.2010 07:50:33 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 07:50:39 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 07:50:49 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 08:20:21 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 08:20:31 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 08:21:05 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 09.03.2010 13:53:53 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msiexec.exe, Version 3.1.4001.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 11.07.2010 12:15:56 | Computer Name = xxx-PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 11.07.2010 12:15:56 | Computer Name = xxx-PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 12.07.2010 11:37:23 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 12.07.2010 11:37:23 | Computer Name = xxx-PC | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden.
 
Error - 12.07.2010 11:37:23 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 12.07.2010 11:37:24 | Computer Name = xxx-PC | Source = PlugPlayManager | ID = 11
Description = Das Gerät "Root\LEGACY_SISPORT\0000" wurde ohne vorbereitende Maßnahmen
 vom System entfernt.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden.
 
 
< End of report >
--- --- ---



Die Log Datei des anderen Proramms kommt gleich.

Ich hoffe du kannst mir helfen :)

no-one 13.07.2010 19:36
so. hier nun endlich der malwarebytes report:


Code:
Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4309

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.07.2010 20:38:21
mbam-log-2010-07-13 (20-38-21).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|D:\|H:\|)
Durchsuchte Objekte: 185882
Laufzeit: 35 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\WINDOWS\system32†\smss.exe" "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32†\smss.exe) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
(Keine bˆsartigen Objekte gefunden)


ich hab die 3 infizierten objekte gelöscht. Jetzt sagt Malwarebytes, dass ich einen Neustart machen soll, soll ich?

cosinus 13.07.2010 19:54
Ja, Neustart machen.
Mach danach ein frisches OTL-Log, da sich durch malwarebytes die Situation verändert hat.

no-one 13.07.2010 21:00
also, hier die OTL Log Dateien:

OTL.txt:


OTL Logfile:
Code:
OTL logfile created on: 13.07.2010 21:36:06 - Run 2
OTL by OldTimer - Version 3.2.9.0    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 696,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 114,41 Gb Free Space | 89,39% Space Free | Partition Type: NTFS
Drive D: | 152,66 Gb Total Space | 19,72 Gb Free Space | 12,92% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 337,77 Gb Total Space | 301,79 Gb Free Space | 89,35% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
 
Computer Name: xxx
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\abc.com (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\WINDOWS\system32*\smss.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\WINDOWS\htpatch.exe ()
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (C-Media Electronics, Inc.))
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\abc.com (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntmgr) -- C:\WINDOWS\SYSTEM32\DRIVERS\avgntmgr.sys (Avira GmbH)
DRV - (avgntdd) -- C:\WINDOWS\system32\drivers\avgntdd.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (atapi) -- C:\WINDOWS\System32\DRIVERS\atapi.sys ()
DRV - (imagesrv) -- C:\WINDOWS\system32\DRIVERS\imagesrv.sys (Ahead Software AG)
DRV - (imagedrv) -- C:\WINDOWS\System32\Drivers\imagedrv.sys (Ahead Software AG)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (a347bus) -- C:\WINDOWS\system32\DRIVERS\a347bus.sys ( )
DRV - (a347scsi) -- C:\WINDOWS\System32\Drivers\a347scsi.sys ( )
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (SISAGP) -- C:\WINDOWS\System32\DRIVERS\SISAGPX.sys (Silicon Integrated Systems Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "about:blank"
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.11 00:26:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.12 17:10:28 | 000,000,000 | ---D | M]
 
[2010.03.05 12:18:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.03.05 12:18:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.03.05 14:03:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\extensions
[2010.01.10 13:16:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.12.11 00:17:28 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.11.03 04:14:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.11.03 04:14:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.03 04:14:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.03 04:14:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.03 04:14:39 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2002.06.27 18:30:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (C-Media Electronics, Inc.))
O4 - HKLM..\Run: [HTpatch] C:\WINDOWS\htpatch.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe (Nero AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260483543062 (WUWebControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} h**p://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\h**p\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h**p\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h**ps\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h**ps\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32*\smss.exe) - C:\WINDOWS\system32*\smss.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.10 22:50:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.12.10 21:17:54 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "C:\WINDOWS\system32*\smss.exe" "%1" %* ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "C:\WINDOWS\system32*\smss.exe" "%1" %* ()
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.13 19:56:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
[2010.07.13 17:30:00 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.13 17:29:58 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.13 17:29:58 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.13 17:29:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.13 17:06:31 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\abc.com
[2010.07.13 17:06:29 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\xxx\Desktop\mbam-setup.exe
[2010.07.13 11:31:23 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\xxx\Desktop\HJTInstall.exe
[2010.07.13 11:30:57 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.07.12 17:25:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.07.12 17:13:42 | 000,000,000 | -HSD | C] -- C:\WINDOWS\system32
[2010.07.12 17:11:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Apple Computer
[2010.07.12 17:11:18 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- C:\WINDOWS\System32\GEARAspi.dll
[2010.07.12 17:10:47 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.07.12 17:10:42 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.07.12 17:10:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.07.12 17:10:07 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.07.12 17:10:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
[2010.07.12 17:09:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.07.12 17:09:58 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2010.07.12 17:09:51 | 003,062,048 | ---- | C] (Apple, Inc.) -- C:\WINDOWS\System32\usbaaplrc.dll
[2010.07.12 17:09:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2010.07.12 17:09:37 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.07.12 17:09:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2010.07.12 17:09:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2010.07.12 17:09:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2010.07.08 21:11:09 | 000,000,000 | ---D | C] -- C:\Programme\ANNO 1503
[2010.07.04 11:33:11 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.07.04 11:32:50 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.07.04 11:32:23 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.06.25 00:03:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Alcohol 120%
[2010.02.03 15:02:38 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys
[2010.02.03 15:02:38 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.13 21:35:32 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.13 21:35:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.13 21:35:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.13 21:34:23 | 001,835,008 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat
[2010.07.13 21:34:23 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.13 21:34:21 | 002,656,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.13 17:30:02 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.13 17:00:26 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\xxx\Desktop\mbam-setup.exe
[2010.07.13 11:31:39 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.lnk
[2010.07.10 16:14:06 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\abc.com
[2010.07.09 08:32:54 | 000,095,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.07.08 23:32:30 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.07.08 23:31:07 | 000,000,351 | ---- | M] () -- C:\WINDOWS\System\cmicnfg.ini
[2010.07.08 21:26:22 | 000,996,448 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.08 21:26:22 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.08 21:26:22 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.08 21:26:22 | 000,080,104 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.08 21:26:22 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.08 21:14:34 | 000,001,542 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ANNO 1503 spielen.lnk
[2010.07.04 11:31:56 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.06.25 00:11:49 | 000,000,245 | ---- | M] () -- C:\WINDOWS\Clony2.ini
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.13 17:30:02 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.13 11:30:58 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.lnk
[2010.07.08 21:14:34 | 000,001,542 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ANNO 1503 spielen.lnk
[2010.06.25 00:08:53 | 000,000,245 | ---- | C] () -- C:\WINDOWS\Clony2.ini
[2010.06.25 00:08:51 | 000,274,944 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\ClonyXXL.exe
[2010.02.09 18:35:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.12.11 07:49:55 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2009.12.11 04:16:02 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\CNMVS58.DLL
[2009.12.11 02:30:20 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.12.11 01:36:08 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\vusetup.dll
[2009.12.11 01:04:28 | 000,000,000 | R--- | C] () -- C:\WINDOWS\System32\drivers\usbhub20.sys
[2009.12.11 00:47:59 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL
[2009.12.11 00:47:59 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys
[2009.12.11 00:37:59 | 000,002,133 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.12.11 00:37:58 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2002.06.27 18:24:12 | 000,096,512 | ---- | C] () -- C:\WINDOWS\System32\drivers\atapi.sys
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 60 bytes -> C:\Dokumente und Einstellungen\All Users\Dokumente\.TemporaryItems:AFP_AfpInfo
< End of report >
--- --- ---


Extras.txt


OTL Logfile:
Code:
OTL Extras logfile created on: 13.07.2010 21:36:06 - Run 2
OTL by OldTimer - Version 3.2.9.0    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 696,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 114,41 Gb Free Space | 89,39% Space Free | Partition Type: NTFS
Drive D: | 152,66 Gb Total Space | 19,72 Gb Free Space | 12,92% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 337,77 Gb Total Space | 301,79 Gb Free Space | 89,35% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
 
Computer Name: xxx-PC
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.exe [@ = exefile] -- C:\WINDOWS\System32*\smss.exe ()
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "C:\WINDOWS\system32*\smss.exe" "%1" %* ()
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\xxx\Desktop\Battlefield 1942\BF1942.exe" = C:\Dokumente und Einstellungen\xxx\Desktop\Battlefield 1942\BF1942.exe:*:Enabled:BF1942 -- ()
"D:\games\Battlefield 1942\BF1942.exe" = D:\games\Battlefield 1942\BF1942.exe:*:Enabled:BF1942 -- ()
"L:\Applications\PortableApps\SkypePortable\App\Skype\Phone\Skype.exe" = L:\Applications\PortableApps\SkypePortable\App\Skype\Phone\Skype.exe:*:Enabled:Skype  -- File not found
"L:\itunes 7.11\Thinstall\iTunes_v7.1.1_by_MiKiCuN\400000ec600002h\iTunes.exe" = L:\itunes 7.11\Thinstall\iTunes_v7.1.1_by_MiKiCuN\400000ec600002h\iTunes.exe:*:Disabled:iTunes -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\WINDOWS\SYSTEM~1\smss.exe" = C:\WINDOWS\SYSTEM~1\smss.exe:*:Enabled:SMS Services -- ()
"C:\DOKUME~1\xxx\EIGENE~1\smss.exe" = C:\DOKUME~1\xxx\EIGENE~1\smss.exe:*:Enabled:SMS Services -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{951F4D78-5DD8-78A5-09E2-A7411A441031}" = Nero 7 Demo
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BB}" = WinZip 14.0
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E9F81423-211E-46B6-9AE0-38568BC5CF6F}" =           
"{EBBB1DEF-8878-4CB8-BC0D-1196B30E7527}" = ANNO 1503
"{EC1F15E1-F3CC-46EE-B7A5-849A08ED60DC}}_is1" = PantsOff 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"AnyDVD" = AnyDVD
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CloneDVD2" = CloneDVD2
"DVDFab 6_is1" = DVDFab 6.2.1.8 (31/12/2009)
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.5)" = Mozilla Firefox (3.5.5)
"nLite_is1" = nLite 1.4.9.1
"NVIDIA" = NVIDIA Windows 2000/XP Display Drivers
"PCI Audio Driver" = PCI Audio Driver
"PE Builder_is1" = PE Builder 3.1.10a
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinISO_is1" = WinISO 5.3
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 30.12.2009 19:40:04 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00460043.
 
Error - 05.03.2010 07:50:33 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 07:50:39 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 07:50:49 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 08:20:21 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 08:20:31 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 05.03.2010 08:21:05 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung blackra1n.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 09.03.2010 13:53:53 | Computer Name = xxx-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msiexec.exe, Version 3.1.4001.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 11.07.2010 12:15:56 | Computer Name = xxx-PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 11.07.2010 12:15:56 | Computer Name = xxx-PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 12.07.2010 11:37:23 | Computer Name = xxx-PC | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden.
 
Error - 12.07.2010 11:37:23 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 12.07.2010 11:37:24 | Computer Name = xxx-PC | Source = PlugPlayManager | ID = 11
Description = Das Gerät "Root\LEGACY_SISPORT\0000" wurde ohne vorbereitende Maßnahmen
 vom System entfernt.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden.
 
Error - 13.07.2010 05:17:07 | Computer Name = xxx-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
 
< End of report >
--- --- ---


Ich hoffe es hilft dir weiter.. :S

cosinus 13.07.2010 21:08
Ich glaub da müssen wir erstmal mit CF ran:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in smss.exe.
http://saved.im/mtc0ntmzz2m4/smss.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte smss.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

no-one 13.07.2010 21:14
soll ich antivir dafür ausstellen? Der PC ist sowieso zurzeit vom internet getrennt...?

EGAL!!! wer lesen kann ist klar im vorteil... -.-
sorry...

no-one 13.07.2010 21:26
Ich kann den Prozess avguard.exe nicht beenden. "Der Vorgang konnte nicht beendet werden. Zugriff verweigert."

was nun?

cosinus 13.07.2010 22:09
Regenschirm schließen reicht aus...

no-one 14.07.2010 06:24
der wird in der Taskleiste rechts unten nicht mehr angezeigt. also einfach ignorieren?

no-one 14.07.2010 10:25
CCleaner hab ich gemacht. Jetzt wollte ich smss.exe ausführen, das geht aber nicht. sobald ich es anklicke, kommt antivir und meckert wieder, dass dieser wurm gefunden wurde. Kann ich die Datei in smss.com umbenennen und ausführen?

2. Ich kann immer noch nicht AntiVir schließen. In der Taskleiste ist kein Regenschirm mehr und im Taskmanager kann ich den Prozess nicht beenden. Soll ich es dann einfach ignorieren?

cosinus 14.07.2010 12:28
Notfalls AntiVir deinstallieren! Der beeinflusst Combofix zu stark!

no-one 14.07.2010 12:51
Hier die Combofix logs (hatte beim ersten noch Antivir auf dem PC installiert, dann hab ich Combofix schon angeklickt gehabt und beim zweiten jedoch zuvor deinstalliert)


Log1:

Combofix Logfile:
Code:
ComboFix 10-07-13.08 - xxx 14.07.2010  13:33:25.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.701 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Lˆschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx\Anwendungsdaten\inst.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-13 20:22 . 2010-07-13 20:22        --------        d-----w-        c:\programme\CCleaner
2010-07-13 17:56 . 2010-07-13 17:56        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:30 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 15:29 . 2010-07-13 15:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-13 09:30 . 2010-07-13 09:30        --------        d-----w-        c:\programme\Trend Micro
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:13 . 2010-07-14 11:27        --------        d-sha-w-        c:\windows\system32†
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-07-08 19:11 . 2010-07-08 19:15        --------        d-----w-        c:\programme\ANNO 1503
2010-07-04 09:33 . 2009-10-23 15:28        3558912        -c----w-        c:\windows\system32\dllcache\moviemk.exe
2010-07-04 09:32 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-04 09:32 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2010-06-15 18:01 . 2010-06-15 18:01        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-12 15:12 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32†\smss.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\SYSTEM~1\\smss.exe"=

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [11.12.2009 00:19 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [11.12.2009 00:19 45416]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.12.2009 00:22 108289]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
.
------- Dateityp-Verkn¸pfung -------
.
exefile="c:\windows\system32†\smss.exe" "%1" %*
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-14 13:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  13:37:23
ComboFix-quarantined-files.txt  2010-07-14 11:37

Vor Suchlauf: 8 Verzeichnis(se), 122.835.374.080 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 124.220.026.880 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 2C5C69A797AC030C9ACDD6B4B51E0655
--- --- ---

Log2:


Combofix Logfile:
Code:
ComboFix 10-07-12.06 - xxx 14.07.2010  13:46:35.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.804 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
.

(((((((((((((((((((((((  Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-13 20:22 . 2010-07-13 20:22        --------        d-----w-        c:\programme\CCleaner
2010-07-13 17:56 . 2010-07-13 17:56        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:30 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 15:29 . 2010-07-13 15:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-13 09:30 . 2010-07-13 09:30        --------        d-----w-        c:\programme\Trend Micro
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:13 . 2010-07-14 11:44        --------        d-sha-w-        c:\windows\system32†
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-07-08 19:11 . 2010-07-08 19:15        --------        d-----w-        c:\programme\ANNO 1503
2010-07-04 09:33 . 2009-10-23 15:28        3558912        -c----w-        c:\windows\system32\dllcache\moviemk.exe
2010-07-04 09:32 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-04 09:32 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2010-06-15 18:01 . 2010-06-15 18:01        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-12 15:12 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32†\smss.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\SYSTEM~1\\smss.exe"=

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
.
------- Dateityp-Verkn¸pfung -------
.
exefile="c:\windows\system32†\smss.exe" "%1" %*
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-14 13:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  13:50:00
ComboFix-quarantined-files.txt  2010-07-14 11:49
ComboFix2.txt  2010-07-14 11:37

Vor Suchlauf: 9 Verzeichnis(se), 124.478.971.904 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 124.467.814.400 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 474698FB7DBE3FC316A6EE62B2EE997A
--- --- ---

ich hoffe es hilft weiter?!?!



ps: ich habe entdeckt, dass sich der wurm auch auf dem USB stick breitgemacht hat. dort sind nun folgende Dateien neu:
- autorun.exe
- usb_smss.exe
- usb_auto.exe

Vielleicht hilft das auch weiter? ich weiß nicht... :S

cosinus 14.07.2010 14:18
Zitat:
ps: ich habe entdeckt, dass sich der wurm auch auf dem USB stick breitgemacht hat. dort sind nun folgende Dateien neu:
- autorun.exe
- usb_smss.exe
- usb_auto.exe
Wenn da mal bitte den Flash Disinfector an, wenns geht vorher alle USB-Sticks und ext. Platten anstecken => Flash Disinfector – free autorun.inf trojans removal tool | My Anti Spyware

Ich sehmir derweil die Logs an.

cosinus 14.07.2010 14:27
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Folder::
c:\windows\system32†

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

no-one 14.07.2010 14:30
ich Flash_Disinfector.exe verwendet. Am schluss kam nur "Done". dann hab ich ein reboot gemacht...

no-one 14.07.2010 14:44
1. Combofix log
Combofix Logfile:
Code:
ComboFix 10-07-12.06 - xxx 14.07.2010  15:43:30.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.809 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
.

((((((((((((((((((((((((((((((((((((  Weitere Lˆschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx\Eigene Dateien\smss.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-13 20:22 . 2010-07-13 20:22        --------        d-----w-        c:\programme\CCleaner
2010-07-13 17:56 . 2010-07-13 17:56        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:30 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 15:29 . 2010-07-13 15:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-13 09:30 . 2010-07-13 09:30        --------        d-----w-        c:\programme\Trend Micro
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:13 . 2010-07-14 13:41        --------        d-sha-w-        c:\windows\system32†
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-07-08 19:11 . 2010-07-08 19:15        --------        d-----w-        c:\programme\ANNO 1503
2010-07-04 09:33 . 2009-10-23 15:28        3558912        -c----w-        c:\windows\system32\dllcache\moviemk.exe
2010-07-04 09:32 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-04 09:32 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2010-06-15 18:01 . 2010-06-15 18:01        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-12 15:12 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-14 02:22 . 2003-05-29 10:48        1474560        --sha-w-        c:\windows\system32†\smss.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32†\smss.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\SYSTEM~1\\smss.exe"=

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-14 15:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  15:47:02
ComboFix-quarantined-files.txt  2010-07-14 13:46
ComboFix2.txt  2010-07-14 11:37

Vor Suchlauf: 9 Verzeichnis(se), 124.468.576.256 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 124.458.659.840 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 231EF2776B4C5011B396772FE665FF06
--- --- ---


2. immer wenn combofix durchläuft, muss er jedes mal die wiederherstellungskonsole neu installieren. Ausserdem, wenn ich bei den Ordneroptionen mir die Dateiendungen anzeigen lasse, sind diese nach jedem Neustart wieder ausgeblendet, und ich hab eine Verknüpfung gelöscht, die jedoch auch wieder auf dem Desktop war...Vielleicht hilft das weiter?

cosinus 14.07.2010 15:37
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
folders to delete:
c:\windows\system32†
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

no-one 14.07.2010 16:16
ich glaub das war nix :S

hier der downloadlink: h**p://www.file-upload.net/download-2671116/backup.zip.html


logfile:


Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "c:\windows\system32†" not found!
Deletion of folder "c:\windows\system32†" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

cosinus 14.07.2010 18:31
Zitat:
Error: folder "c:\windows\system32†" not found!
Deletion of folder "c:\windows\system32†" failed!
Hmpf :mad:
Der Ordner ist definitiv da, ich vermute dieses Kreuz-Sonderzeichen dient dazu den Ordner möglichst nicht löschen zu können :balla:

Findest Du den Ordner in Windows? Wenn ja, kannst Du den umbenennen in system32bad?
Versuch nicht den wichtigen Ordner system32 umzubenennen!! Nur den mit diesem komischen Kreuz!

Wenn dann nichts geht müssen wir mal über ein Live-System von CD ran.

no-one 15.07.2010 22:25
(ich konnte gestern nicht und bin jetzt erst wieder zuhause gewesen)

ich hab nach dem Ordner gesucht, aber nix gefunden :(

dann hab ich einfach mal Norton installiert und es rüberlaufen lassen, und er hat den wurm auch gefunden und Norton konnte ihn löschen :) Außerdem hat er auch einige Registrierungseinträge etc. gelöscht... ich hoffe jetzt ist alles weg. dann hab ich einen Neustart gemacht und nochmal einen Norton scan gemacht. Dann Norton deinstalliert und Kaspersky installiert und einen scan gemacht. Nix mehr gefunden. Ich glaube er ist weg....


Vielen Dank für deine Hilfe trotzdem :)

no-one


PS: Oder bin ich zu blauäugig, zu glauben, dass jetzt alles weg ist? Gibts noch eine andere Möglichkeit zu überprüfen, ob nun alles weg ist?

cosinus 16.07.2010 08:10
Dann lass das mal überprüfen. Du musst nen neuen Durchgang mit CF machen.
Lösch die alten und auch umbenannten Versionen vorher, dann lädst Du Dir combofix als cofi.exe neu herunter und führst es nach Anleitung aus.

no-one 18.07.2010 15:03
Sorry, dass ich erst jetzt Antworte, aber hier der CF log:

Combofix Logfile:
Code:
ComboFix 10-07-16.02 - xxx 18.07.2010  15:54:45.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.729 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((  Dateien erstellt von 2010-06-18 bis 2010-07-18  ))))))))))))))))))))))))))))))
.

2010-07-15 19:14 . 2010-07-15 19:14        88760        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-15 19:14 . 2010-07-15 19:14        387768        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-15 19:14 . 2010-07-15 19:14        264888        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-15 19:14 . 2010-07-15 19:14        191160        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-15 19:14 . 2010-07-15 19:14        88760        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-15 19:14 . 2010-07-15 19:14        387768        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-15 19:14 . 2010-07-15 19:14        191160        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-15 19:14 . 2010-07-15 19:14        264888        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-15 19:14 . 2010-07-15 19:14        1037648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\sw2\klavasyswatch.dll
2010-07-15 19:10 . 2010-07-15 19:10        275792        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-07-15 19:07 . 2010-07-15 19:07        97549        ----a-w-        c:\windows\system32\drivers\klick.dat
2010-07-15 19:07 . 2010-07-15 19:07        113933        ----a-w-        c:\windows\system32\drivers\klin.dat
2010-07-15 19:06 . 2010-07-18 14:01        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-07-15 19:06 . 2010-07-15 19:06        --------        d-----w-        c:\programme\Kaspersky Lab
2010-07-15 19:05 . 2010-07-15 19:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-07-15 17:29 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2010-07-15 17:25 . 2010-07-15 17:25        --------        d-----w-        c:\programme\Windows Sidebar
2010-07-15 17:25 . 2010-07-15 19:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-07-15 17:25 . 2010-07-15 17:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-07-13 20:22 . 2010-07-13 20:22        --------        d-----w-        c:\programme\CCleaner
2010-07-13 17:56 . 2010-07-13 17:56        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:30 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 15:29 . 2010-07-13 15:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-13 09:30 . 2010-07-13 09:30        --------        d-----w-        c:\programme\Trend Micro
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:13 . 2010-07-15 17:36        --------        d-sha-w-        c:\windows\system32†
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-07-08 19:11 . 2010-07-08 19:15        --------        d-----w-        c:\programme\ANNO 1503
2010-07-04 09:33 . 2009-10-23 15:28        3558912        -c----w-        c:\windows\system32\dllcache\moviemk.exe
2010-07-04 09:32 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-04 09:32 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-15 19:15 . 2010-05-07 10:34        1037648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-07-15 19:14 . 2010-05-06 13:00        275792        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-15 17:40 . 2010-03-06 10:33        --------        d-----w-        c:\programme\PantsOff
2010-07-12 15:12 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Apple Software Update
2010-07-08 19:26 . 2002-06-27 16:34        448470        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-08 19:26 . 2002-06-27 16:34        80104        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-08 19:11 . 2009-12-30 23:34        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-15 18:01 . 2010-06-15 18:01        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2009-12-10 23:19        744448        ----a-w-        c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-05-18 14:35 . 2010-05-18 14:35        91424        ----a-w-        c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35        75040        ----a-w-        c:\windows\system32\jdns_sd.dll
2010-05-18 14:35 . 2010-05-18 14:35        197920        ----a-w-        c:\windows\system32\dnssdX.dll
2010-05-18 14:35 . 2010-05-18 14:35        107808        ----a-w-        c:\windows\system32\dns-sd.exe
2010-05-07 16:18 . 2010-05-07 16:18        247120        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\uds.dll
2010-05-07 16:18 . 2010-05-07 16:18        132432        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\dns_client.dll
2010-05-07 16:18 . 2010-05-07 16:18        272984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-05-07 14:26 . 2010-05-07 14:26        92816        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2011 11.0.0.232\German\setup.exe
2010-05-07 10:37 . 2010-05-07 10:37        228024        ----a-w-        c:\windows\system32\klogon.dll
2010-05-06 22:19 . 2010-05-06 22:19        132184        ----a-w-        c:\windows\system32\drivers\kl2.sys
2010-05-06 22:19 . 2010-05-06 22:19        132184        ----a-w-        c:\windows\system32\drivers\kl1.sys
2010-05-06 10:31 . 2006-06-23 12:27        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2002-06-27 16:43        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2002-06-27 16:24        285696        ----a-w-        c:\windows\system32\atmfd.dll
2010-04-19 18:47 . 2010-07-12 15:09        3062048        ----a-w-        c:\windows\system32\usbaaplrc.dll
2010-04-19 18:47 . 2010-07-12 15:09        41984        ----a-w-        c:\windows\system32\drivers\usbaapl.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" [2010-05-07 344736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
S0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S1 kl2;Kl2;c:\windows\system32\drivers\kl2.sys [07.05.2010 00:19 132184]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - WINIO
*Deregistered* - WINIO
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-18 16:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2460)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\windows\Mixer.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-18  16:04:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-18 14:04
ComboFix2.txt  2010-07-14 13:47
ComboFix3.txt  2010-07-14 11:37

Vor Suchlauf: 10 Verzeichnis(se), 123.427.864.576 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 123.365.670.912 Bytes frei

- - End Of File - - D99E82DD7A782C36CF36F7F5C2F9AFAF
--- --- ---


ich hoffe nun ist alles weg?

Gruß,
no-one

cosinus 18.07.2010 15:30
Code:
2010-07-12 15:13 . 2010-07-15 17:36        --------        d-sha-w-        c:\windows\system32†
Der ist noch da. Du wirst das vermutlich über ein Fremdsystem wie Knoppix oder Parted Magic machen müssen...


PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 den Ordner /windows/system32† um in system32vir
7. Starte den Rechner neu und boote Windows
8. Den umbenannten Ordner mal zippen und hier hochladen > http://www.trojaner-board.de/54791-a...ner-board.html

no-one 18.07.2010 16:12
Datei ist Hochgeladen. Aber da ist nicht all zu viel drin. Wirst du ja sehen...

Gruß,
no-one

cosinus 18.07.2010 16:30
Konntest Du den Ordner denn ohne Probleme unter Linux umbenennen? War da sonst nichts weiter drin? :confused:
Wenn ja kannst ihn jetzt löschen.

no-one 18.07.2010 17:40
konnte ihn ohne weiteres umbenennen, und es war nix weiteres drin... ich lösch ihn jetzt

cosinus 18.07.2010 18:11
Ok. Bitte dann Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

no-one 10.08.2010 22:56
Hallo,
ich hab etwas gebraucht um die letzten schritte zu machen, jedoch hatte ich seitdem dem PC nicht mehr benutzt. Hier die Logs:

1. GMER stürzt immer ab - also kein log

2. OSAM:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
h**p://www.online-solutions.ru/en/
Saved at 23:50:18 on 10.08.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.5

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ImageDrive.cpl" - "Nero AG" - C:\WINDOWS\system32\ImageDrive.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a347bus" (a347bus) - " " - C:\WINDOWS\System32\DRIVERS\a347bus.sys
"a347scsi" (a347scsi) - " " - C:\WINDOWS\System32\Drivers\a347scsi.sys
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"imagedrv" (imagedrv) - "Ahead Software AG" - C:\WINDOWS\System32\Drivers\imagedrv.sys
"imagesrv" (imagesrv) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\imagesrv.sys
"Kl1" (KL1) - "Kaspersky Lab ZAO" - C:\WINDOWS\System32\drivers\kl1.sys
"Kl2" (kl2) - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\drivers\kl2.sys
"kxtdqpog" (kxtdqpog) - ? - C:\DOKUME~1\xxx\LOKALE~1\Temp\kxtdqpog.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"SiS AGP Filter" (SISAGP) - "Silicon Integrated Systems Corporation" - C:\WINDOWS\System32\DRIVERS\SISAGPX.sys
"Standard-IDE/ESDI-Festplattencontroller" (atapi) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\atapi.sys  (File is exclusively opened, access blocked)
"VIA USB Host Controller Lower Filter" (vulfnths) - "VIA Technologies, Inc." - C:\WINDOWS\System32\Drivers\vulfnth.sys
"VIA USB Roothub Lower Filter" (vulfntrs) - "VIA Technologies, Inc." - C:\WINDOWS\System32\Drivers\vulfntr.sys
"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{32020A01-506E-484D-A2A8-BE3CF17601C3} "AlcoholShellEx" - "Alcohol Soft Development Team" - C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -  (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\System32\Macromed\Flash\Flash10d.ocx / h**p://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
{CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AVP" - "Kaspersky Lab ZAO" - "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
"HTpatch" - ? - C:\WINDOWS\htpatch.exe  (File found, but it contains no detailed information)
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"SiSUSBRG" - "Silicon Integrated Systems Corp." - C:\WINDOWS\SiSUSBrg.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\klogon.dll
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru


3. Bootkit_remover:


Bootkit Remover
(c) 2009 eSage Lab
esage lab - main

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...


ich hoffe nun ist alles weg??

gruß,
no-one

cosinus 11.08.2010 07:11
Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0

no-one 11.08.2010 11:33
gesagt - getan...



Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\xxx>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover
(c) 2009 eSage Lab
esage lab - main

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Restoring boot code at \\.\PhysicalDrive0...
OK

Done;
Press any key to quit...



und nun? was mach ich jetzt?

gruß,
no-one

cosinus 11.08.2010 11:43
Zur Kontrolle remover.exe doppelklicken und Ausgabe posten.

no-one 11.08.2010 11:57
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...

cosinus 11.08.2010 12:11
Ok. Mach noch mal bitte einen weiteren Durchgang mit CF, lad die Datei wieder neu herunter als cofi.exe, die alte vorher löschen. Ich trau dem Braten nämlich noch nicht so ganz, aber der MBR ist schonmal in Ordnung! :)

no-one 11.08.2010 12:32
Combofix:


Combofix Logfile:
Code:
ComboFix 10-08-10.06 - xxx 11.08.2010  13:22:20.5.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.738 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\CoFi.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-07-11 bis 2010-08-11  ))))))))))))))))))))))))))))))
.

2010-08-11 10:37 . 2010-08-11 10:37        275792        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\general\bases\av\kdb\i386\win\avengine.dll
2010-08-11 10:37 . 2010-08-11 10:37        166584        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\klwtblc.dll
2010-08-11 10:37 . 2010-08-11 10:37        125624        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\shellex.dll
2010-08-11 10:37 . 2010-08-11 10:37        109240        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\sbstart.exe
2010-08-11 10:37 . 2010-08-11 10:37        129720        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\shellex.dll
2010-08-11 10:37 . 2010-08-11 10:37        113336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\sbstart.exe
2010-08-11 10:37 . 2010-08-11 10:37        170680        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtblc.dll
2010-08-11 10:30 . 2010-07-21 17:50        81920        ----a-w-        c:\windows\system32\remover.exe
2010-08-10 21:40 . 2008-04-14 02:22        26624        ----a-w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-07-18 17:40 . 2010-07-18 17:40        --------        d-----w-        c:\programme\Roadkil.Net
2010-07-18 17:08 . 2008-05-02 08:41        3493888        ---ha-w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\U3\temp\Launchpad Removal.exe
2010-07-18 17:02 . 2007-10-23 07:27        110592        ----a-w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\U3\temp\cleanup.exe
2010-07-18 16:51 . 2010-07-18 17:06        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\U3
2010-07-15 19:14 . 2010-07-15 19:14        88760        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-15 19:14 . 2010-07-15 19:14        387768        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-15 19:14 . 2010-07-15 19:14        191160        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-15 19:14 . 2010-07-15 19:14        264888        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-15 19:14 . 2010-07-15 19:14        1037648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\sw2\klavasyswatch.dll
2010-07-15 19:10 . 2010-08-11 10:35        283984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-07-15 19:07 . 2010-08-11 10:37        97549        ----a-w-        c:\windows\system32\drivers\klick.dat
2010-07-15 19:07 . 2010-08-11 10:37        113933        ----a-w-        c:\windows\system32\drivers\klin.dat
2010-07-15 19:06 . 2010-08-11 11:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-07-15 19:06 . 2010-07-15 19:06        --------        d-----w-        c:\programme\Kaspersky Lab
2010-07-15 19:05 . 2010-07-15 19:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-07-15 17:29 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2010-07-15 17:25 . 2010-07-15 17:25        --------        d-----w-        c:\programme\Windows Sidebar
2010-07-15 17:25 . 2010-07-15 19:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-07-15 17:25 . 2010-07-15 17:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-07-13 17:56 . 2010-07-13 17:56        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-07-18 16:48        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 10:37 . 2010-05-06 13:00        283984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-18 17:31 . 2010-03-06 10:33        --------        d-----w-        c:\programme\PantsOff
2010-07-18 16:50 . 2010-07-12 15:11        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-15 19:15 . 2010-05-07 10:34        1037648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-07-12 15:09 . 2010-07-12 15:09        --------        d-----w-        c:\programme\Apple Software Update
2010-07-08 19:26 . 2002-06-27 16:34        448470        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-08 19:26 . 2002-06-27 16:34        80104        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-08 19:15 . 2010-07-08 19:11        --------        d-----w-        c:\programme\ANNO 1503
2010-07-08 19:11 . 2009-12-30 23:34        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-15 18:01 . 2010-06-15 18:01        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2009-12-10 23:19        744448        ----a-w-        c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-05-18 14:35 . 2010-05-18 14:35        91424        ----a-w-        c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35        75040        ----a-w-        c:\windows\system32\jdns_sd.dll
2010-05-18 14:35 . 2010-05-18 14:35        197920        ----a-w-        c:\windows\system32\dnssdX.dll
2010-05-18 14:35 . 2010-05-18 14:35        107808        ----a-w-        c:\windows\system32\dns-sd.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" [2010-05-07 344736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
S0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S1 kl2;Kl2;c:\windows\system32\drivers\kl2.sys [07.05.2010 00:19 132184]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-08-11 13:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-08-11  13:30:04
ComboFix-quarantined-files.txt  2010-08-11 11:30
ComboFix2.txt  2010-07-18 14:04
ComboFix3.txt  2010-07-14 13:47
ComboFix4.txt  2010-07-14 11:37

Vor Suchlauf: 10 Verzeichnis(se), 123.129.942.016 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 123.121.123.328 Bytes frei

- - End Of File - - C5C3F3EB764F1F0D6317F91602E5BDF3
--- --- ---
wie stehts um den PC?

cosinus 11.08.2010 12:37
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

no-one 11.08.2010 13:45
erstmal Malwarebytes:


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4418

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.08.2010 14:37:49
mbam-log-2010-08-11 (14-37-49).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 196402
Laufzeit: 52 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
(Keine bˆsartigen Objekte gefunden)

no-one 11.08.2010 15:29
und bei SUPER AntiSpyware ist nichts bei rausgekommen (keine schädlichen Dateien gefunden)...

hört sich gut an, odeR?

cosinus 11.08.2010 15:43
Gut, dann bitte die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:36 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58