Trojaner-Board - Nach Trojanerbefall: Flicken oder neu aufsetzen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach Trojanerbefall: Flicken oder neu aufsetzen (https://www.trojaner-board.de/88186-trojanerbefall-flicken-neu-aufsetzen.html)

Nach Trojanerbefall: Flicken oder neu aufsetzen

Hallo

Am 12.7. hatte ich meinen ersten Trojaner AV Security Suite
Der wurde erfolgreich verbannt (rkill und malwarebytes)
Doch kam am 13.7. Win Antivir Pro direkt auf den Bildschirm
Malwarebytes = Keine Funde
Oberflächlich verbannt ?

Aussergewöhnliche Aktionen vor dem ersten Auftreten
Thunderbird Posteingänge poppen mehrfach auf

Passwordeingabe von Thunderbird poppt während des Schreibens in irgendwelchen Foren auf und übernimmt die aktuelle Eingabe im Passwordfeld.

Folgende aussergewöhnliche Aktionen seit 13.7.

Meldung bei Schliessen einer Word Datei
ohne Anwendung eines Makros
„Soll der aufgezeichnete Makro gespeichert werden „
Meine Aktion –> Nein

Automatisches Weiterleiten in Firefox hier z.B. Google (Fake?) oder Allgive
hxxp://bulkputty.org/key/?qs=9cfa3ac44d4e319b3bc395394f39d00b1937c948eff08db07fdd4f166fbc2dae2ffa7edacf832934a40895a6b5761e89&t=allgive+virus

Funde bei Antivir

In der Datei 'C:\System Volume Information\_restore{FA5E33A5-CBAE-4DD3-AA00-6DCEFC00F470}\RP256\A0114153.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\phud1f8u.default\Cache\C51FEC09d01'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z97DW9V4\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f360[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Fake.SecSui.O' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZ00HUDF\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f361[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.TDss.dae' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Bei Aufruf des Malwarebytes' Anti-Malware 1.46
Kommt Meldung: Wird bereits ausgeführt
- > Exe umbenannt

Kein Fund bei
Malwarebyte

Wenn ich mir die z.T doch sehr zeitaufwändigen Aktionen meiner Mitbetroffenen so anschaue, stellt sich mir die Frage, ob nicht doch ein Neuaufsetzen weniger zeitintensiv wäre.

Wie stehen denn die Chancen durch eine Neuinstallation von WIN XP
die Quälgeister loszuwerden.
Ich habe allerdings noch eine Datensicherung nach Auftreten des Befalls
auf eine externe Festplatte gemacht.
D.h. es stellt sich die zusätzliche Frage, wie bekomme ich die virenfrei,
wobei der scan keinen Befall angezeigt hatte.

Wäre schön, wenn es hierfür eine Lösung geben würde.

VG

Bernd

Hallo,

poste trotzdem mal bitte das Malwarebytes Logfile.
Danach auch bitte OTL ausführen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hier das neueste malwarebyte logfile

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4311

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.07.2010 06:31:06
mbam-log-2010-07-15 (06-31-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120864
Laufzeit: 3 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die beiden letzten mit Funden
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4310

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.07.2010 05:33:38
mbam-log-2010-07-14 (05-33-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|L:\|)
Durchsuchte Objekte: 377575
Laufzeit: 2 Stunde(n), 21 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZ00HUDF\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f361[1] (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z97DW9V4\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f360[1] (Trojan.Downloader) -> Quarantined and deleted successfully.

Datenbank Version: 4308

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13.07.2010 10:19:08
mbam-log-2010-07-13 (10-19-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120943
Laufzeit: 4 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbnswvvh (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbnswvvh (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\oevohbfbg\dqkyqcxtssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\1C9.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\ruWN.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Es gibt Probleme mit OTL

Er scannt bis
HKEY_URRENT_USER\Internet Explorer Settings

danach kommt die Meldung "Keine Rückmeldung"

Gruß
Bernd

Dann sag mal bei OTL unter Standard- und Extra Registrierung "Aus" und versuch es nochmal.

Hmm
bis jetzt kam nur Run 1

OTL Logfile:

Code:

OTL logfile created on: 15.07.2010 11:18:45 - Run 1

OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\***\Desktop\Rettung

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 87,00% Memory free

5,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free

Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 97,65 Gb Total Space | 46,79 Gb Free Space | 47,92% Space Free | Partition Type: NTFS

Drive D: | 195,31 Gb Total Space | 7,17 Gb Free Space | 3,67% Space Free | Partition Type: NTFS

Drive E: | 172,79 Gb Total Space | 30,66 Gb Free Space | 17,74% Space Free | Partition Type: NTFS

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ***-X82AV5ZSOK

Current *** Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current ***

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (SetupNTGLM7X) -- F:\NTGLM7X.sys File not found

DRV - (NTACCESS) -- F:\NTACCESS.sys File not found

DRV - (GMSIPCI) -- F:\INSTALL\GMSIPCI.SYS File not found

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (amdide) -- C:\WINDOWS\system32\DRIVERS\amdide.sys (Advanced Micro Devices)

DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)

 

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.07.14 06:24:38 | 000,000,000 | ---D | C] -- C:\Programme\trend micro

[2010.07.14 06:24:37 | 000,000,000 | ---D | C] -- C:\rsit

[2010.07.14 06:01:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent

[2010.07.14 05:54:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

[2010.07.13 13:10:32 | 000,000,000 | -HSD | C] -- C:\Config.Msi

[2010.07.12 22:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Rettung

[2010.07.12 12:09:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

[2010.07.12 12:09:21 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.07.12 12:09:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Malwarebytes

[2010.07.12 12:07:27 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe

[2010.07.12 11:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner

[2010.07.12 09:46:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\oevohbfbg

[2010.07.08 12:06:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz

[2010.07.01 15:10:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\EMQI Selbständigkeit

[2010.06.28 22:32:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Homepage

[2010.06.28 07:33:32 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime

[2010.06.28 07:33:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Apple Computer

[2010.06.24 05:38:38 | 000,000,000 | ---D | C] -- C:\Programme\COMPUTERBILD-Abzockschutz

[2010.06.18 23:36:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Hexenküche 20100618

[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job

[2010.07.15 11:13:02 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.07.15 11:13:01 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.07.15 11:13:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.07.15 11:12:59 | 000,060,256 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap

[2010.07.15 08:34:02 | 011,796,480 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NT***.DAT

[2010.07.15 08:34:02 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\nt***.ini

[2010.07.15 07:52:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.07.14 17:55:16 | 000,068,608 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Strategie EMQI Living-Pics.xls

[2010.07.14 12:25:36 | 000,089,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc

[2010.07.14 06:43:25 | 000,013,724 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.07.14 06:04:54 | 000,000,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg

[2010.07.14 06:04:16 | 000,046,548 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg

[2010.07.14 05:54:41 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk

[2010.07.13 20:07:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2010.07.12 20:38:48 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk

[2010.07.12 20:38:47 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk

[2010.07.12 20:38:45 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk

[2010.07.12 11:40:28 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe

[2010.07.12 06:54:47 | 000,349,092 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel

[2010.07.08 19:13:39 | 000,246,769 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf

[2010.07.08 14:11:50 | 000,015,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anlage 2010.xls

[2010.07.08 13:30:34 | 000,926,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG

[2010.07.07 14:35:41 | 000,096,256 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Telefonliste.xls

[2010.07.06 22:05:06 | 000,952,782 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG

[2010.07.05 12:32:50 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc

[2010.07.02 00:46:06 | 000,019,456 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc

[2010.07.01 15:05:41 | 000,013,824 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls

[2010.06.28 07:33:48 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk

[2010.06.27 07:54:03 | 000,018,800 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

[2010.06.27 07:53:47 | 000,118,152 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010.06.23 09:12:08 | 000,997,150 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.06.23 09:12:08 | 000,448,800 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.06.23 09:12:08 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.06.23 09:12:08 | 000,080,108 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.06.23 09:12:08 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.07.14 06:46:09 | 000,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc

[2010.07.14 06:04:47 | 000,000,360 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg

[2010.07.14 06:03:44 | 000,046,548 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg

[2010.07.14 05:54:41 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk

[2010.07.12 20:38:48 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk

[2010.07.12 20:38:47 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk

[2010.07.12 20:38:45 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk

[2010.07.12 06:54:47 | 000,349,092 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel

[2010.07.08 19:13:39 | 000,246,769 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf

[2010.07.08 13:39:44 | 000,952,782 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG

[2010.07.08 13:39:44 | 000,926,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG

[2010.07.04 15:11:10 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc

[2010.07.01 23:07:25 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc

[2010.07.01 14:51:54 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls

[2010.06.28 07:33:48 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk

[2010.05.17 12:46:52 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll

[2009.10.22 12:28:56 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

 
 ========== LOP Check ==========

 

[2009.11.01 14:36:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\CanonBJ

[2010.07.12 09:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz

[2009.11.06 00:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Exif Viewer

[2010.03.10 14:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Facebook

[2010.07.11 17:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0

[2009.12.26 10:43:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\inkscape

[2010.01.06 14:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PhotoFiltre

[2009.10.21 15:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pixmantec

[2009.10.19 17:59:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird

[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

 
 ========== Purity Check ==========

 

 

< End of report >

--- --- ---

Hab es nochmals laufen lassen
Ist dass dann Run 2 oder sollte der mit dem ersten Abruf mit dabei sein ?
Wenn ja, war er nicht dabei ??
OTL Logfile:

Code:

OTL logfile created on: 15.07.2010 11:41:07 - Run 2

OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\***\Desktop\Rettung

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 84,00% Memory free

5,00 Gb Paging File | 5,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 97,65 Gb Total Space | 46,79 Gb Free Space | 47,92% Space Free | Partition Type: NTFS

Drive D: | 195,31 Gb Total Space | 7,17 Gb Free Space | 3,67% Space Free | Partition Type: NTFS

Drive E: | 172,79 Gb Total Space | 30,66 Gb Free Space | 17,74% Space Free | Partition Type: NTFS

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ***-X82AV5ZSOK

Current *** Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current ***

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (SetupNTGLM7X) -- F:\NTGLM7X.sys File not found

DRV - (NTACCESS) -- F:\NTACCESS.sys File not found

DRV - (GMSIPCI) -- F:\INSTALL\GMSIPCI.SYS File not found

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (amdide) -- C:\WINDOWS\system32\DRIVERS\amdide.sys (Advanced Micro Devices)

DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)

 

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.07.14 06:24:38 | 000,000,000 | ---D | C] -- C:\Programme\trend micro

[2010.07.14 06:24:37 | 000,000,000 | ---D | C] -- C:\rsit

[2010.07.14 06:01:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent

[2010.07.14 05:54:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

[2010.07.13 13:10:32 | 000,000,000 | -HSD | C] -- C:\Config.Msi

[2010.07.12 22:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Rettung

[2010.07.12 12:09:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

[2010.07.12 12:09:21 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.07.12 12:09:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Malwarebytes

[2010.07.12 12:07:27 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe

[2010.07.12 11:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner

[2010.07.12 09:46:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\oevohbfbg

[2010.07.08 12:06:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz

[2010.07.01 15:10:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\EMQI Selbständigkeit

[2010.06.28 22:32:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Homepage

[2010.06.28 07:33:32 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime

[2010.06.28 07:33:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Apple Computer

[2010.06.24 05:38:38 | 000,000,000 | ---D | C] -- C:\Programme\COMPUTERBILD-Abzockschutz

[2010.06.18 23:36:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Hexenküche 20100618

[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.07.15 11:37:11 | 000,049,664 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL logfile 15.07.2010 1doc.doc

[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job

[2010.07.15 11:13:02 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.07.15 11:13:01 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.07.15 11:13:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.07.15 11:12:59 | 000,060,256 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap

[2010.07.15 08:34:02 | 011,796,480 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NT***.DAT

[2010.07.15 08:34:02 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\nt***.ini

[2010.07.15 07:52:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.07.14 17:55:16 | 000,068,608 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Strategie EMQI Living-Pics.xls

[2010.07.14 12:25:36 | 000,089,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc

[2010.07.14 06:43:25 | 000,013,724 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.07.14 06:04:54 | 000,000,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg

[2010.07.14 06:04:16 | 000,046,548 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg

[2010.07.14 05:54:41 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk

[2010.07.13 20:07:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2010.07.12 20:38:48 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk

[2010.07.12 20:38:47 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk

[2010.07.12 20:38:45 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk

[2010.07.12 11:40:28 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe

[2010.07.12 06:54:47 | 000,349,092 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel

[2010.07.08 19:13:39 | 000,246,769 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf

[2010.07.08 14:11:50 | 000,015,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anlage 2010.xls

[2010.07.08 13:30:34 | 000,926,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG

[2010.07.07 14:35:41 | 000,096,256 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Telefonliste.xls

[2010.07.06 22:05:06 | 000,952,782 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG

[2010.07.05 12:32:50 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc

[2010.07.02 00:46:06 | 000,019,456 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc

[2010.07.01 15:05:41 | 000,013,824 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls

[2010.06.28 07:33:48 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk

[2010.06.27 07:54:03 | 000,018,800 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

[2010.06.27 07:53:47 | 000,118,152 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010.06.23 09:12:08 | 000,997,150 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.06.23 09:12:08 | 000,448,800 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.06.23 09:12:08 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.06.23 09:12:08 | 000,080,108 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.06.23 09:12:08 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.07.15 11:37:11 | 000,049,664 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL logfile 15.07.2010 1doc.doc

[2010.07.14 06:46:09 | 000,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc

[2010.07.14 06:04:47 | 000,000,360 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg

[2010.07.14 06:03:44 | 000,046,548 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg

[2010.07.14 05:54:41 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk

[2010.07.12 20:38:48 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk

[2010.07.12 20:38:47 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk

[2010.07.12 20:38:45 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk

[2010.07.12 06:54:47 | 000,349,092 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel

[2010.07.08 19:13:39 | 000,246,769 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf

[2010.07.08 13:39:44 | 000,952,782 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG

[2010.07.08 13:39:44 | 000,926,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG

[2010.07.04 15:11:10 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc

[2010.07.01 23:07:25 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc

[2010.07.01 14:51:54 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls

[2010.06.28 07:33:48 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk

[2010.05.17 12:46:52 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll

[2009.10.22 12:28:56 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

 
 ========== LOP Check ==========

 

[2009.11.01 14:36:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\CanonBJ

[2010.07.12 09:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz

[2009.11.06 00:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Exif Viewer

[2010.03.10 14:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Facebook

[2010.07.11 17:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0

[2009.12.26 10:43:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\inkscape

[2010.01.06 14:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PhotoFiltre

[2009.10.21 15:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pixmantec

[2009.10.19 17:59:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird

[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

 
 ========== Purity Check ==========

 

 

< End of report >

--- --- ---

So seh ich leider zu wenig, da müssen härtere Tool ran ;)
Bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Beim erneuten Hochfahren von WIN XP während des Ablaufes
musste ich mit der Maus die AVIR Virusmeldung wegklicken,
Hoffe, dass das keinen Einfluss auf die Auswertung hat ;-)

Combofix Logfile:

Code:

ComboFix 10-07-14.02 - user 15.07.2010  15:12:46.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2887 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

Infizierte Kopie von c:\windows\system32\drivers\ssmdrv.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-15 bis 2010-07-15  ))))))))))))))))))))))))))))))

.
 

2010-07-14 04:24 . 2010-07-14 04:24        --------        d-----w-        c:\programme\trend micro

2010-07-14 04:24 . 2010-07-14 04:24        --------        d-----w-        C:\rsit

2010-07-14 03:54 . 2010-07-15 12:46        --------        d-----w-        c:\programme\CCleaner

2010-07-12 10:09 . 2010-07-12 10:09        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes

2010-07-12 10:09 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-12 10:09 . 2010-07-14 05:45        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-12 10:09 . 2010-07-12 10:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-07-12 10:09 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-07-12 10:07 . 2010-07-12 09:40        6153648        ----a-w-        c:\programme\mbam-setup.exe

2010-07-12 08:29 . 2010-07-12 08:29        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData

2010-07-12 07:46 . 2010-07-13 08:19        --------        d-----w-        c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\oevohbfbg

2010-07-08 10:06 . 2010-07-12 07:56        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\COMPUTERBILD-Abzockschutz

2010-06-28 05:33 . 2010-06-28 05:33        --------        d-----w-        c:\programme\QuickTime

2010-06-28 05:33 . 2010-06-28 05:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer

2010-06-24 03:38 . 2010-06-24 03:38        --------        d-----w-        c:\programme\COMPUTERBILD-Abzockschutz
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-15 10:01 . 2009-10-19 15:59        --------        d-----w-        c:\programme\Mozilla Thunderbird

2010-07-11 15:36 . 2009-10-21 17:41        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\gtk-2.0

2010-06-27 05:54 . 2009-10-19 15:40        18800        ----a-w-        c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-06-23 07:12 . 2003-04-02 12:00        80108        ----a-w-        c:\windows\system32\perfc007.dat

2010-06-23 07:12 . 2003-04-02 12:00        448800        ----a-w-        c:\windows\system32\perfh007.dat

2010-06-08 05:10 . 2010-06-08 05:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2010-06-01 20:57 . 2010-06-01 20:40        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Nero

2010-06-01 20:37 . 2010-06-01 20:34        --------        d-----w-        c:\programme\Gemeinsame Dateien\Nero

2010-06-01 20:36 . 2010-06-01 20:34        --------        d-----w-        c:\programme\Nero

2010-06-01 20:35 . 2010-06-01 20:34        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero

2010-05-18 08:53 . 2010-05-18 08:53        --------        d-----w-        c:\programme\MSXML 4.0

2010-05-17 10:46 . 2010-05-17 10:46        --------        d-----w-        c:\programme\Convar

2010-05-17 10:46 . 2009-10-19 14:13        --------        d--h--w-        c:\programme\InstallShield Installation Information

2010-05-02 08:05 . 2008-04-14 12:00        1851392        ----a-w-        c:\windows\system32\win32k.sys

2010-04-20 05:29 . 2008-04-14 12:00        285696        ----a-w-        c:\windows\system32\atmfd.dll

2010-04-16 16:06 . 2008-04-14 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll

2010-04-16 16:06 . 2008-04-14 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-22 39408]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"RTHDCPL"="RTHDCPL.EXE" [2008-12-09 18063872]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-11-21 149280]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.10.2009 21:26 108289]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.04.2010 18:37 135664]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]

.

Inhalt des "geplante Tasks" Ordners
 

2010-07-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
 

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-13 16:37]
 

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-13 16:37]
 

2010-07-15 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-10-23 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyServer = http=127.0.0.1:5577

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\phud1f8u.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: keyword.URL - hxxp://searchservice.myspace.com/index.cfm?fuseaction=sitesearch.results&type=Web&orig=IMC-FF&qry=

FF - plugin: c:\dokumente und einstellungen\user\Anwendungsdaten\Facebook\npfbplugin_1_0_0.dll

FF - plugin: c:\dokumente und einstellungen\user\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll

FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

 FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-15 15:15

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(728)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2010-07-15  15:16:42

ComboFix-quarantined-files.txt  2010-07-15 13:16
 

Vor Suchlauf: 6 Verzeichnis(se), 50.239.127.552 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 52.339.224.576 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
 

- - End Of File - - 44C806E96CBBAA96695437E93487B5C9

--- --- ---

Zitat:

musste ich mit der Maus die AVIR Virusmeldung wegklicken,

Welche meldung genau?

In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\ssmdrv.sys.vir'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Qoobox\32788R22FWJFW\ssmdrv.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Noch eine kleine Zwischenfrage und ein Zwischenlob für die zügige Verarbeitung

Was mach ich denn jetzt mit meiner externen Festplatte, die hatte ich vorsorglich mal abgeklemmt.
Müssen die ganzen Prozeduren bei der dann auch durchgeführt werden ?
.........

vg
Bernd

Erstmal: Die Funde sind ok und folgerichtig, denn CF hat die schädlichen Dateien in seinen eigenen Backup-Ordner verschoben, da sind die hamrlos und können keinen Schaden mehr anrichten.

Zitat:

Müssen die ganzen Prozeduren bei der dann auch durchgeführt werden ?

Am besten Autorun/Autoplay auf allen Laufwerken deaktivieren (siehe unten), dann kannste gefahrlos alle USB-Sticks und -Platten anstecken. Anschließend diese Laufwerke mit dem FlashDisinfector "impfen"

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Soll das heissen, dass ich jetzt auch wieder gefahrlos (bis zum nächsten Angriff ;-))
online banken kann ?
OHNE NEUAUFSATZ des Systems ?
Das wär's

vg
Bernd

Beim Starten des FlashDisinfector
bekam ich diese Meldung von Antivir

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\nircmd.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.2' [program] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ist das im Zusammenhang zu sehen ?

vg
Bernd