Habe mir gerade einen Antimalware Doctor eingefangen
 

Hallo Zusammen,

ich hoffe, dass Ihr mir helfen könnt. Habe mir gerade einen Antimalware Doctor eingefangen und jetzt schon das OTL-Programm laufen lassen... Bin eher der hilflose Typ wenn es um PC Probleme geht...

Antivir hatte mehrere Warnmeldungen abgegeben bevor er sich geöffnet hat und ich habe die files sofort in Quarantäne geschoben und dann gelöscht. Danach hat sich dann allerdings der
Antimalware Doctor geöffnet und angefangen zu scannen. Ich habe sofort abgebrochen.
Wollte dann schließen - ging nicht. Dann dachte ich natürlich sofort an einen Trojaner, wollte die Software in der Systemsteuerung entfernen - da fing der Scan wieder an. Habe ich erneut abgebrochen.

Soll ich Euch meine OTL-Texte jetzt posten? Ach ja... im Augenblick läuft noch der komplette Antivir Scan...und das Fenster von Antimalware Doctor ist noch geöffnet... habe mich nicht getraut es zu schließen.

Vielen Dank schonmal für Eure Hilfe!!! Gut, dass es solche Foren gibt!!!

Nina


Hier die Texte:

OTL logfile created on: 06.09.2010 22:54:03 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.014,00 Mb Total Physical Memory | 332,00 Mb Available Physical Memory | 33,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 12,69 Gb Free Space | 32,48% Space Free | Partition Type: NTFS
Drive D: | 47,67 Gb Total Space | 14,47 Gb Free Space | 30,35% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 25,05 Gb Total Space | 24,93 Gb Free Space | 99,54% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Dokumente und Einstellungen\***\Anwendungsdaten\1751ED0142831C992F18564CADC32819\mediafix70700en02.exe (MS)
PRC - C:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - c:\Programme\Avira\AntiVir Desktop\avnotify.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Videoload Manager\ContentManager.exe (ACE GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Alice\Signup\AliceCnn.exe (Hansenet)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe ()
PRC - C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe (Adobe Sytems Incorporated)
PRC - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe ()


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (getPlus(R) Helper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe (NOS Microsystems Ltd.)
SRV - (ContentMgrService) -- C:\Programme\Videoload Manager\ContentManager.exe (ACE GmbH)
SRV - (Autodesk Licensing Service) -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe (Autodesk)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (Adobe Version Cue CS2) -- C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe (Adobe Systems Incorporated)


========== Driver Services (SafeList) ==========

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems)
DRV - (Haspnt) -- C:\WINDOWS\system32\drivers\Haspnt.sys (Aladdin Knowledge Systems)
DRV - (whfltr2k) -- C:\WINDOWS\system32\drivers\whfltr2k.sys ()
DRV - (PDNMp50) -- C:\WINDOWS\system32\drivers\PDNMp50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (PDNSp50) -- C:\WINDOWS\system32\drivers\PDNSp50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (tosrfbd) -- C:\WINDOWS\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (tosrfbnp) -- C:\WINDOWS\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (igfx) -- C:\WINDOWS\system32\drivers\igdkmd32.sys (Intel Corporation)
DRV - (ti21sony) -- C:\WINDOWS\system32\drivers\ti21sony.sys (Texas Instruments)
DRV - (TosRfSnd) -- C:\WINDOWS\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (Tosrfusb) -- C:\WINDOWS\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSX_DPV.sys (Conexant Systems, Inc.)
DRV - (HSXHWAZL) -- C:\WINDOWS\system32\drivers\HSXHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSX_CNXT.sys (Conexant Systems, Inc.)
DRV - (tosporte) -- C:\WINDOWS\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINDOWS\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (XAudio) -- C:\WINDOWS\system32\drivers\XAudio.sys (Conexant Systems, Inc.)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (NETw3x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw3x32.sys (Intel® Corporation)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (Tosrfcom) -- C:\WINDOWS\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (toshidpt) -- C:\WINDOWS\system32\drivers\Toshidpt.sys (TOSHIBA Corporation.)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs LLC)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (tosrfnds) -- C:\WINDOWS\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (ZD1211U(ZyDAS)) ZyDAS ZD1211 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyDAS) -- C:\WINDOWS\system32\drivers\ZD1211U.sys (ZyDAS Technology Corporation)
DRV - (ZDPNDIS5) -- C:\WINDOWS\system32\ZDPNDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (SNC) -- C:\WINDOWS\system32\drivers\SonyNC.sys (Sony Corporation)
DRV - (MicroGuard) -- C:\WINDOWS\system32\drivers\mgnt.sys ()


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de"
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.6.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.1.5


FF - HKLM\software\mozilla\Firefox\Extensions\\{400F0BDB-6C49-43A4-BE1F-76D7327A604D}: C:\Programme\Gemeinsame Dateien\fluxDVD\Download Manager\Mozilla [2008.07.11 20:19:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010.08.02 20:35:33 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.02 20:35:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.02 20:35:43 | 000,000,000 | ---D | M]

[2009.06.01 20:32:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2008.12.17 22:43:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\extensions
[2008.12.17 22:43:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2010.09.06 22:37:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kqldlv8a.default\extensions
[2009.06.01 21:30:31 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kqldlv8a.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}
[2010.02.25 21:43:05 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kqldlv8a.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.02.26 21:20:40 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kqldlv8a.default\searchplugins\conduit.xml
[2010.09.06 22:37:53 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2007.03.02 15:17:24 | 000,095,200 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPAPIX.dll
[2007.01.17 13:18:04 | 000,095,200 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll
[2007.09.07 16:25:50 | 000,103,064 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPMPDRM.dll
[2007.09.07 15:46:48 | 000,098,968 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPWMDRMWrapper.dll
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.03.15 15:56:14 | 000,002,642 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2001.08.23 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Download Manager Browser Helper Object) - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\Programme\Gemeinsame Dateien\fluxDVD\Download Manager\XEBDLHelper.dll (Protect Software GmbH)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe (Adobe Sytems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WheelMouse] C:\Trust Presenter Mouse 14832\wh_exec.exe ()
O4 - HKCU..\Run: [{D6AFDDFF-EBBE-80EA-9D60-001532650D25}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Fipo\uhaz.exe File not found
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKCU..\Run: [mediafix70700en02.exe] C:\Dokumente und Einstellungen\***\Anwendungsdaten\1751ED0142831C992F18564CADC32819\mediafix70700en02.exe (MS)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe (Autodesk, Inc)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Cisco Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Ext

malwarebytes schon ausgeführt?

Guten Morgen,

vielen Dank fürs Melden!


Hier die Ergebnisse von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4558

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

07.09.2010 07:08:04
mbam-log-2010-09-07 (07-08-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140283
Laufzeit: 9 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\1751ED0142831C992F18564CADC32819\mediafix70700en02.exe (Trojan.Agent.Gen) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mediafix70700en02.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{d6afddff-ebbe-80ea-9d60-001532650d25} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\1751ED0142831C992F18564CADC32819\mediafix70700en02.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\71.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\73.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.


Der Scan hatte vorher allerdings 9 infizierte Dateien gefunden... jetzt hat er nur sechs gelöscht...???


LG Karina

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo,

hier das Ergebnis des Vollscans...

Ist jetzt wieder alles gut?


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4562

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

07.09.2010 20:36:22
mbam-log-2010-09-07 (20-36-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 245456
Laufzeit: 1 Stunde(n), 22 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



LG Nina

Mach bitte ein neues OTl-Log. Das was Du vorher gepostet hast, ist unvollständig.

Hallo,

ich hoffe, dass ich diese Nachricht jetzt raus bekomme... Alice meldet mir, dass ein unbekannter Server agiert??? Kann das sein???

Habe eben schon total oft versucht die OTL Texte zu posten aber der Server haut mich immer raus wenn ich auf "Antworten" gehe.

Zip alle Logs in eine Datei und häng sie hier im nächsten Beitrag an.

Hallo,

jetzt gezipptes Word als Anhang...


Ich hoffe, dass es funktioniert.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Die "Eieruhr" des Downloads läuft und läuft und es passiert nichts... Ist das normal? Mein System spinnt gerade ein bißchen... :-(

Hier die Combofix-Ergebnisse:


Combofix Logfile:
--- --- ---


LG Nina

Guten Morgen,

ich denke, dass das System immer noch verseucht ist, da heute morgen plötzlich einfach realupdate.exe anfing - das ist ja auch nicht so gesund. Sollte ich vielleicht doch neu formatieren?


Gruß Nina

Mal ruhig bleiben. Ich hab nicht gesagt, dass wir fertig sind nach CF :balla:
Außerdem hättest Du auch mal den kompletten Pfad zu dieser Datei posten können :stirn:

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,

:-( Sorry...hab´ nur echt Panik... :-(

Sowohl OSAM als auch GMER funktionieren nicht... es ist als wenn eine Anwendung verhindert, dass ich mir die laden kann...

Hatte nach Combofix das Gefühl, dass das System fast sauber "lief"... Heute scheint es wieder total verseucht zu sein...


LG Nina

Hallo Arne,

:-( ...sorry, hab´ nur echt Panik gerade... :-(

Ich kann sowohl GMER als auch OSAM nicht herunterladen. Es ist als ob eine Anwendung verhindert, dass ich mir die Sachen ziehe...

Ich hatte nach Combofix das Gefühl, dass das System fast sauber "lief"...

Heute scheint es wieder total verseucht zu sein :-(


Gruß Nina

Hallo Arne,

:-( ...sorry, hab´ nur echt Panik gerade... :-(

Ich kann sowohl GMER als auch OSAM nicht herunterladen. Es ist als ob eine Anwendung verhindert, dass ich mir die Sachen ziehe...

Ich hatte nach Combofix das Gefühl, dass das System fast sauber "lief"...

Heute scheint es wieder total verseucht zu sein :-(


Gruß Nina

PS: Pfad...???

Warum postest Du das ganze gleich dreimal?? Mit Pfad meine ich den kompletten Pfad zu der angeblich schädlichen Datei realupdate.exe

Hier mal Alternativlinks:

GMER => File-Upload.net - vlsnjrqe.exe
OSAM => File-Upload.net - osam.zip

Hallo,

hier die Ergebnisse vom OSAM... GMER ist bis zum Ende gelaufen - dann wollte ich kopieren aber der Speicherplatz hat nicht ausgereicht (???) und ich konnte die Daten nicht einfügen.

Ich habe aber noch gesehen, dass da ziemlich oft was von "Adobe CS2" stand. Auf meinem Daten-Laufwerk wurden auch Dinge gefunden die da eigentlich nicht hingehören (irgendwas mit "System 32"...)



OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Im GMER Log wo Du jetzt nicht mehr rankommst?
Was für ein Adobe-CS2 hast Du da, woher stammt das, also aus welcher Quelle?
Wo ist das Log vom Bootkit Remover?

Guten Morgen,

ja, bei GMER. Hab´ mir den Text angeschaut konnte ihn aber nicht kopieren... System meldete "Nicht genügend Speicher" obwohl das eigentlich nicht sein kann.

CS2 ist bestimmt schon über drei Jahre auf dem PC... habe ich von einem Freund bekommen.

Mit dem bootkit remover komme ich nicht klar... da entpackt sich keine remove.exe Datei. Dann dachte ich, dass ich die rar umbenennen muss - es öffnet sich zwar ein schwarzes Fenster aber dann kommt ne Fehlermeldung... Sorry... zu doof :-(

Gruß Nina

Gecrackte Version? :eek: :pfui:

Hallo,

:-( ist eine Studentenversion gewesen... Gecrackt? Bin mir nicht sicher... wie gesagt, hat ein Freund gemacht.

Und nu? Alles kaputt? :-(

Dann ist alles gut.
Edit: Statt Bootkit Remover können wir auch was anderes nehmen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,

hier das Ergebnis:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xF7ABE000 \WINDOWS\system32\KDCOM.DLL
0xF79CE000 \WINDOWS\system32\BOOTVID.dll
0xF748E000 ACPI.sys
0xF7AC0000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF747D000 pci.sys
0xF75BE000 isapnp.sys
0xF75CE000 ohci1394.sys
0xF75DE000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF79D2000 compbatt.sys
0xF79D6000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xF7B86000 pciide.sys
0xF783E000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF745F000 pcmcia.sys
0xF75EE000 MountMgr.sys
0xF7440000 ftdisk.sys
0xF79DA000 ACPIEC.sys
0xF7B87000 \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
0xF7846000 PartMgr.sys
0xF75FE000 VolSnap.sys
0xF7428000 atapi.sys
0xF760E000 disk.sys
0xF761E000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7408000 fltmgr.sys
0xF73F6000 sr.sys
0xF73DF000 KSecDD.sys
0xF7352000 Ntfs.sys
0xF7325000 NDIS.sys
0xF730A000 Mup.sys
0xF782E000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF7A96000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xF6739000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF6725000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6700000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF66BA000 \SystemRoot\system32\DRIVERS\yk51x86.sys
0xF6519000 \SystemRoot\system32\DRIVERS\NETw3x32.sys
0xF7926000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF64F6000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF792E000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF763E000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF64B9000 \SystemRoot\system32\drivers\ti21sony.sys
0xF7936000 \SystemRoot\System32\DRIVERS\SonyNC.sys
0xF764E000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF793E000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7946000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF765E000 \SystemRoot\System32\Drivers\Imapi.SYS
0xF766E000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF767E000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF6496000 \SystemRoot\System32\DRIVERS\ks.sys
0xF794E000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xF768E000 \SystemRoot\System32\Drivers\tosrfcom.sys
0xF647B000 \SystemRoot\System32\DRIVERS\dne2000.sys
0xF7C99000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF769E000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7AAA000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6464000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF76AE000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF76BE000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7956000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6453000 \SystemRoot\System32\DRIVERS\psched.sys
0xF76CE000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF795E000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7966000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF6422000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF76DE000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7AEA000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF63C9000 \SystemRoot\System32\DRIVERS\update.sys
0xF72DE000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF76EE000 \SystemRoot\system32\DRIVERS\tosporte.sys
0xF76FE000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA969D000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xA967B000 \SystemRoot\system32\drivers\portcls.sys
0xF772E000 \SystemRoot\system32\drivers\drmk.sys
0xA963E000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0xA953B000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0xA9487000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0xF796E000 \SystemRoot\System32\Drivers\Modem.SYS
0xF773E000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7AF0000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7AF2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C37000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AF4000 \SystemRoot\System32\Drivers\Beep.SYS
0xF798E000 \SystemRoot\System32\drivers\vga.sys
0xF7AF6000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AF8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7996000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF799E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6CBC000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xA9404000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xA93AC000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xA9384000 \SystemRoot\System32\DRIVERS\netbt.sys
0xA9363000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xA9341000 \SystemRoot\System32\drivers\afd.sys
0xF774E000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF775E000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF79A6000 \SystemRoot\System32\DRIVERS\ssmdrv.sys
0xA9316000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF777E000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xA92A7000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF778E000 \SystemRoot\System32\Drivers\Fips.SYS
0xA91E5000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B10000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF781E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA91A5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B12000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA9437000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7856000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7CF1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04E000 \SystemRoot\System32\igxpdv32.DLL
0xBF1D9000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA9078000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xA9091000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xA8FD8000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xA8D03000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xA8C9E000 \SystemRoot\system32\drivers\wdmaud.sys
0xA8E68000 \SystemRoot\system32\drivers\sysaudio.sys
0xA8F88000 \??\C:\WINDOWS\System32\drivers\Haspnt.sys
0xA8A3B000 \??\C:\WINDOWS\System32\Drivers\CVPNDRVA.sys
0xA8B8C000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA8C00000 \??\C:\WINDOWS\system32\drivers\mgnt.sys
0xA896C000 \SystemRoot\System32\DRIVERS\srv.sys
0xF79C6000 \SystemRoot\system32\DRIVERS\xaudio.sys
0xA82EB000 \SystemRoot\System32\Drivers\HTTP.sys
0xA9165000 \??\C:\WINDOWS\system32\ZDPNDIS5.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 65):
0 System Idle Process
4 System
1164 C:\WINDOWS\system32\smss.exe
1280 csrss.exe
1304 C:\WINDOWS\system32\winlogon.exe
1348 C:\WINDOWS\system32\services.exe
1360 C:\WINDOWS\system32\lsass.exe
1548 C:\WINDOWS\system32\svchost.exe
1636 svchost.exe
1676 C:\WINDOWS\system32\svchost.exe
1736 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
1952 C:\WINDOWS\explorer.exe
2036 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
284 svchost.exe
332 svchost.exe
716 C:\WINDOWS\system32\spoolsv.exe
764 C:\Programme\Avira\AntiVir Desktop\sched.exe
804 svchost.exe
932 C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
960 C:\Programme\Avira\AntiVir Desktop\avguard.exe
976 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
1000 C:\Programme\Videoload Manager\ContentManager.exe
1108 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1144 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1224 C:\Programme\Java\jre6\bin\jqs.exe
1580 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
1708 C:\WINDOWS\system32\svchost.exe
1924 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
124 C:\WINDOWS\system32\wuauclt.exe
2080 C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
2796 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2840 alg.exe
2912 C:\WINDOWS\system32\wscntfy.exe
3036 wmiprvse.exe
3296 C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
3324 C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\acrotray.exe
3352 C:\WINDOWS\system32\igfxtray.exe
3364 C:\WINDOWS\system32\hkcmd.exe
3392 C:\WINDOWS\system32\igfxpers.exe
3400 C:\WINDOWS\system32\igfxsrvc.exe
3412 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
3428 C:\Programme\Alice\Signup\AliceCnn.exe
3436 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
3576 C:\Programme\Java\jre6\bin\jusched.exe
3588 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
3660 C:\Programme\iTunes\iTunesHelper.exe
3708 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
3772 C:\Programme\Microsoft ActiveSync\wcescomm.exe
3952 C:\PROGRA~1\MICROS~3\rapimgr.exe
4008 C:\Programme\Skype\Phone\Skype.exe
660 C:\WINDOWS\system32\ctfmon.exe
3536 C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
3748 C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
4072 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
2688 C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
2724 C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
3512 C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
1700 C:\Programme\iPod\bin\iPodService.exe
2440 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
3084 C:\Programme\Mozilla Firefox\firefox.exe
3480 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
3848 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
4048 C:\WINDOWS\system32\wuauclt.exe
532 C:\Programme\Skype\Plugin Manager\skypePM.exe
3308 C:\Dokumente und Einstellungen\Karina\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`007e0000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000010`07b00000 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000009`c45a5600 (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


Gruß Nina

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

hier die Ergebnisse von Super Anti Spyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/15/2010 at 00:17 AM

Application Version : 4.42.1000

Core Rules Database Version : 5505
Trace Rules Database Version: 3317

Scan type : Complete Scan
Total Scan Time : 01:55:52

Memory items scanned : 593
Memory threats detected : 0
Registry items scanned : 7825
Registry threats detected : 0
File items scanned : 127578
File threats detected : 3

Trojan.Agent/CDesc[Generic]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{CABA63A3-6900-405E-897D-B28A26CB4833}\RP12\A0005247.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{CABA63A3-6900-405E-897D-B28A26CB4833}\RP12\A0005248.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{CABA63A3-6900-405E-897D-B28A26CB4833}\RP12\A0005249.DLL


Malwarebytes:

Ich wollte die gefundenen Dateien löschen (insgesamt 7 - zwei heuristics und fünf trojan.agent dabei ist malwarebytes hängengeblieben (keine Rückmeldung) und ich konnte sie nicht löschen...

Achso... gestern lief in den Tasks "realupdate.exe" :-( und auf meinem Datenlaufwerk gibt es einen neuen Ordner mit ewig vielen kleinen Dateien drin. Der Ordner heißt cmdcons und die Dateien sind SY-Dateien, NL, Programmbibliothek und DL Dateien. Diese sind uralt waren aber früher nie im Datenlaufwerk!!!
Aktuell ist nur der Ordner System 32 - darin liegen zwei Dateien: NTDLL.DLL und "smss" ein Windows NT Update? Was machen die plötzlich da?

Mein System läuft aber wieder ziemlich normal... ich habe nur das Gefühl, dass sofort was "neues" hinzu kommt sobald ich online bin.Welche Firewall?



Gruß Karina

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Realplayer installiert?

Das ist bestimmt nicht das Floppylaufwerk. cmdcons ist für die Wiederherstellungskonsole, die wurde von CF installiert. cmdcons liegt immer auf C: (bzw die Systempartition falls die nicht C: ist)

Windows-Firewall. Alles andere wie ZoneAlarm ist Schlangenöl hoch drei und von Laien eh nicht vernünftig konfigurierbar.

Jetzt hat es doch noch geklappt...



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4621

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.09.2010 23:18:37
mbam-log-2010-09-15 (23-18-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 248882
Laufzeit: 1 Stunde(n), 8 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{CABA63A3-6900-405E-897D-B28A26CB4833}\RP5\A0000677.exe (Trojan.Malagent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CABA63A3-6900-405E-897D-B28A26CB4833}\RP5\A0001445.exe (Trojan.Malagent) -> Not selected for removal.
C:\System Volume Information\_restore{CABA63A3-6900-405E-897D-B28A26CB4833}\RP5\A0001700.exe (Trojan.Malagent) -> Not selected for removal.
C:\System Volume Information\_restore{CABA63A3-6900-405E-897D-B28A26CB4833}\RP6\A0002244.exe (Trojan.Malagent) -> Not selected for removal.
C:\System Volume Information\_restore{CABA63A3-6900-405E-897D-B28A26CB4833}\RP7\A0002474.exe (Trojan.Malagent) -> Not selected for removal.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IREN4R0N\nfc[1].exe (Heuristics.Shuriken) -> Not selected for removal.
C:\WINDOWS\Temp\mixerbbmon.exe (Heuristics.Shuriken) -> Not selected for removal.

Ich habe Antivir... deaktivieren?

Auf was soll sich das jetzt beziehen? Warum hast Du nicht alle Funde mit malwarebytes entfernt?

Hallo,

d. heißt, dass ich Antivir installiert habe und ob ich das jetzt besser deaktivieren sollte...

Beim ersten Versuch alles auf einmal zu löschen ist der Vorgang komplett hängen geblieben... "Keine Rückmeldung".

Daher habe ich das dann später alles "zu Fuß" gelöscht...

Im Augenblick kann ich aber mit dem privaten PC auch nicht online gehen... Alice verbindet mich nicht mehr... :-( Muss das jetzt erstmal klären. Oder kann das vielleicht zusammen hängen?

Gruß Nina

Wie kommst Du auf AntiVir? Ich bezog mich auf ZoneAlarm, das solltest Du deinstallieren und die Windows-Firewall aktivieren!
Ist mir schleierhaft warum Du da AntiVir ins Spiel bringst. Ein Virenscanner ist keine Firewall.