Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Entfernung von Trojaner Crypt.xpack.gen 2 und andere (https://www.trojaner-board.de/91350-entfernung-trojaner-crypt-xpack-gen-2-andere.html)

merenga 01.10.2010 13:24
Entfernung von Trojaner Crypt.xpack.gen 2 und andere
 
Hallo zusammen,

ich bin neu hier aber euer Forum gefällt mir super :rolleyes:

Nun hat es mich auch erwischt. Leider habe ich ein Problem mit einem oder diversen Trojanern

Antivir hat folgendes Protokoll geschrieben:

hier ein Auszug:
.....
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\Temp\TMP22.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20101001-120005-DF767FB1\AVSCAN-00000006.tmp
[0] Archivtyp: RSRC
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
C:\WINDOWS\Temp\TMP26.tmp
C:\WINDOWS\Temp\TMP44.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20101001-120005-DF767FB1\AVSCAN-0000000E.tmp
[0] Archivtyp: RSRC
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
C:\WINDOWS\Temp\TMP76.tmp

Beginne mit der Desinfektion:
C:\WINDOWS\Temp\TMP76.tmp
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\Temp\TMP44.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Eine Exception wurde abgefangen!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

C:\WINDOWS\Temp\TMP26.tmp
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\Temp\TMP22.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Eine Exception wurde abgefangen!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

die einfachen Wege für die Quarantäne von Antivir und löschen funktionieren nicht.:heulen:

Hier das Hijack Logfile:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:44:05, on 01.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.benq.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.internetcologne.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189454282468
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe


Habe Malwarebytes'Anti-Malware einmal einen Quick-Scan ausführen lassen und die gefundene Infizierung entfernen lassen. Hier ist der Report:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4727

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.10.2010 14:41:18
mbam-log-2010-10-01 (14-41-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137193
Laufzeit: 8 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Auch wenn dieser Report eine erfolgreiche Beseitigung bestätigt, denke ich, dass das noch nicht alles war, was ich tuen muß, dass mein System von den Übeltätern bereinigt ist.


Und da ich nicht wirklich viel Ahnung von diesen Dingen habe bitte ich um eure Hilfe.

Schon mal vorab besten Dank

Hallo, habe ich in meinem Thread etwas falsch gemacht? Wenn ja tut es mir leid. Würde mich aber sehr freuen, wenn ich eine Antwort bekomme. Auch wenn es viele ähnliche Fälle im Board bzw. Internet gibt, so traue ich mich nicht Eingriffe auf eigene Faust zu machen. Zwischenzeitlich hat sich die Meldung bei Antivir auf 7 Trojaner erweitert. Diverse TR/Crypt.... Typen scheinen nun da zu sein. Was benötigt Ihr noch von mir? Ich werde es euch umgehend zukommen lassen.

cosinus 03.10.2010 13:42
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

merenga 04.10.2010 11:53
Hallo Arne, hier die versprochenen Logfiles

1. logfile von Malwarebytes-Anti-Malware. Zuerst habe ich das Programm aktualisiert und hier nun der log:

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 199695
Laufzeit: 35 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


2. hier der logfile von OTL:

OTL Extra:OTL Logfile:
Code:
OTL Extras logfile created on: 04.10.2010 12:36:34 - Run 1
OTL by OldTimer - Version 3.2.14.1    Folder = C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
959,00 Mb Total Physical Memory | 323,00 Mb Available Physical Memory | 34,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 59,00% Paging File free
Paging file location(s): C:\pagefile.sys 672 1344 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 46,87 Gb Total Space | 18,47 Gb Free Space | 39,41% Space Free | Partition Type: FAT32
Drive D: | 25,68 Gb Total Space | 22,89 Gb Free Space | 89,13% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: BENQ-568LXSEDM0
Current User Name: Ralf
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [dm Fotowelt] -- "C:\dm Fotowelt.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\System32\mmc.exe" = C:\WINDOWS\System32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\WINDOWS\ISW\netcol.dsl\signup\signup.exe" = C:\WINDOWS\ISW\netcol.dsl\signup\signup.exe:*:Disabled:Anmeldung bei NetCologne NetDSL -- (ProDyne)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Disabled:Mozilla Firefox -- (Mozilla Corporation)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\Buderus\KommMan.exe" = C:\Programme\Buderus\KommMan.exe:*:Enabled:GfT Kommunikationsmanager -- (Gesellschaft für Telekommunikationsanwendungen mbH, Cloppenburg)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0393F0DD-E347-4913-AE44-3A987BA68DAB}" = Lexware handwerk pro 2007
"{04E5FA82-2818-4907-BB13-7206A7E1C7F4}" = Lexware handwerk pro 2007
"{05440044-64A6-4248-A026-9745C1E9E159}" = Microsoft Encarta Enzyklopädie 2005
"{0D25F7CC-B99C-44ee-9945-B14532B2BB7B}" = Canon MP830
"{0E75044F-812B-4A55-8D05-FAF7D3D609BB}" = Lexware faktura+auftrag 2007
"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 20
"{27270D6C-6784-40C5-BBD3-F0230D25DEAA}" = Q-MediaBar
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{34D99953-2606-432C-AEE7-B391C6C68474}" = Lexware warenwirtschaft pro 2009
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35343FF7-939B-401A-87B3-FF90A5123D88}" = Microsoft XML Parser und SDK
"{37C8899D-FD70-481F-94AA-1F1B08765E22}" = Acronis*True*Image*Home
"{3F262ADC-5AD2-48E5-A586-44315E04A9E2}" = Microsoft Picture It!-Bibliothek 10
"{42756145-9997-4D28-809B-8756BFD00106}" = Microsoft Picture It! Foto Premium 10
"{4389B446-8F84-4497-9B0B-A508186978A5}" = Lexware handwerk pro 2007
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5CB6B359-CF25-47BE-B332-D222038758A3}" = QMusic 2.5
"{62B7C52C-CAB6-48B1-8245-52356C141C92}" = RENESIS® Player Browser Plugins
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{67E4EE98-59F4-4220-89A6-A20AF5BEC689}" = Microsoft AutoRoute 2005
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6BA305B5-432B-4D13-A83D-FE5ED966C1FF}" = Lexware handwerk pro 2007
"{7016EC53-EE81-42B6-B4FF-18BB103B0AA3}" = Lexware warenwirtschaft pro Servicepack Mai 2009, Version 9.50
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}" = OmniPage SE
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8B9D9832-BAD8-4422-8934-3736DDEE2E1C}" = TL-WN821N Wireless Utility
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{92B5EE03-B7C3-4EBB-8B0B-6F131C7DB1E4}" = Lexware Dao 350 Dao 360
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{9976C1CE-DA33-4C02-8A22-0C934CACD2AE}" = Lexware handwerk premium 2010
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.5 - Deutsch
"{AC76BA86-7AD7-1031-7B44-A81300000003}_814" = KB408682
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B582664D-01A6-47B8-9E0B-F84F225E3A68}" = Lexware handwerk pro 2007
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEADF607-3739-4752-9BD5-761D34C2A565}" = Konvertierprogramm
"{D271DAE0-8D68-4C97-8356-A126D48A1D8C}" = Ulead Photo Explorer 8.0 SE Basic
"{D50E46A0-85B0-47F9-977D-354C871E3480}" = Lexware handwerk pro 2007
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{EA52A1AC-D35D-4D25-8686-9466FE2C5CE5}" = Presto! PageManager 7.15.11
"{EB145CEA-998F-4C9D-AEF7-B4DBBD217DAF}" = F5U216
"{F0CF7090-4339-4066-A30B-D75EB87D40CF}" = Lexware warenwirtschaft premium 2010
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Browser Defender_is1" = Browser Defender 2.0.6.15
"Bud_Easy_1.0" = Parametriersoftware Easycom / Eco-Kom 5.058
"CanonMyPrinter" = Canon Utilities My Printer
"CCleaner" = CCleaner
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-WebPrint" = Easy-WebPrint
"FTDICOMM" = FTDI USB Serial Converter Drivers
"khb_fa" = Lexware know how box warenwirtschaft
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Thunderbird (3.1.4)" = Mozilla Thunderbird (3.1.4)
"MP Navigator 2.2" = Canon MP Navigator 2.2
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NetCologne NetDSL" = NetCologne NetDSL-Installationsdateien entfernen
"PictureItPrem_v10" = Microsoft Picture It! Foto Premium 10
"RealPlayer 6.0" = RealPlayer
"S3" = UniChrome Pro IGP Display Driver and Utilities
"Shockwave" = Shockwave
"Spyware Doctor" = Spyware Doctor 7.0
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VTDisplay" = S3 S3Display
"VTGamma2" = S3 S3Gamma2
"VTInfo2" = S3 S3Info2
"VTOverlay" = S3 S3Overlay
"VTTrayPlus" = S3 S3TrayPlus
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR archiver
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 02.10.2010 02:42:35 | Computer Name = BENQ-568LXSEDM0 | Source = sdCoreService | ID = 0
Description =
 
Error - 02.10.2010 02:47:11 | Computer Name = BENQ-568LXSEDM0 | Source = sdCoreService | ID = 0
Description =
 
Error - 02.10.2010 06:09:02 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 03.10.2010 06:09:21 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 04.10.2010 02:26:56 | Computer Name = BENQ-568LXSEDM0 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avscan.exe, Version 10.0.3.0, fehlgeschlagenes
 Modul msvcr90.dll, Version 9.0.30729.4148, Fehleradresse 0x0003fb29.
 
Error - 04.10.2010 06:00:21 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 04.10.2010 06:00:55 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 04.10.2010 06:01:10 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 04.10.2010 06:11:47 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 04.10.2010 06:14:15 | Computer Name = BENQ-568LXSEDM0 | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
[ System Events ]
Error - 21.07.2010 07:42:38 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7034
Description = Dienst "PC Tools Security Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 14.09.2010 01:58:49 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 14.09.2010 06:44:27 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 15.09.2010 02:16:16 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 17.09.2010 02:52:23 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 23.09.2010 14:19:21 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7034
Description = Dienst "PC Tools Security Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 25.09.2010 11:17:10 | Computer Name = BENQ-568LXSEDM0 | Source = Print | ID = 6161
Description = Das Dokument about:blank, im Besitz von Ralf, konnte nicht auf dem
 Drucker Canon MP830 Series Printer (Kopie 1) gedruckt werden. Datentyp: NT EMF
1.008. Größe der Warteschlangendatei in Bytes: 3211264. Anzahl der gedruckten Bytes:
 3161288. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten:
 0. Clientcomputer: \\BENQ-568LXSEDM0. Vom Druckprozessor zurückgelieferter Win32-Fehlercode:
 0 (0x0).
 
Error - 02.10.2010 02:43:26 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7034
Description = Dienst "PC Tools Security Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 02.10.2010 02:47:52 | Computer Name = BENQ-568LXSEDM0 | Source = Service Control Manager | ID = 7034
Description = Dienst "PC Tools Security Service" wurde unerwartet beendet. Dies
ist bereits 2 Mal passiert.
 
Error - 03.10.2010 23:51:18 | Computer Name = BENQ-568LXSEDM0 | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
 "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
 eine Verbindung herzustellen.
 
 
< End of report >
--- --- ---


und hier der OTL Text:OTL Logfile:
Code:
OTL logfile created on: 04.10.2010 12:36:34 - Run 1
OTL by OldTimer - Version 3.2.14.1    Folder = C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
959,00 Mb Total Physical Memory | 323,00 Mb Available Physical Memory | 34,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 59,00% Paging File free
Paging file location(s): C:\pagefile.sys 672 1344 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 46,87 Gb Total Space | 18,47 Gb Free Space | 39,41% Space Free | Partition Type: FAT32
Drive D: | 25,68 Gb Total Space | 22,89 Gb Free Space | 89,13% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: BENQ-568LXSEDM0
Current User Name: Ralf
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (sdCoreService) -- C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools)
SRV - (sdAuxService) -- C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Browser Defender Update Service) -- C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (PCTCore) -- C:\WINDOWS\system32\drivers\PCTCore.sys (PC Tools)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (tdrpman140) Acronis Try&Decide and Restore Points filter (build 140) -- C:\WINDOWS\system32\DRIVERS\tdrpm140.sys (Acronis)
DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (snapman380) Acronis Snapshots Manager (Build 380) -- C:\WINDOWS\system32\DRIVERS\snman380.sys (Acronis)
DRV - (ggsemc) -- C:\WINDOWS\system32\drivers\ggsemc.sys (Sony Ericsson Mobile Communications)
DRV - (ggflt) -- C:\WINDOWS\system32\drivers\ggflt.sys (Sony Ericsson Mobile Communications)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (arusb(TP-LINK)) Atheros Wireless Network Adapter Service(TP-LINK) -- C:\WINDOWS\system32\drivers\arusb.sys (Atheros Communications, Inc.)
DRV - (s0017mdm) -- C:\WINDOWS\system32\drivers\s0017mdm.sys (MCCI Corporation)
DRV - (s0017unic) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM) -- C:\WINDOWS\system32\drivers\s0017unic.sys (MCCI Corporation)
DRV - (s0017obex) -- C:\WINDOWS\system32\drivers\s0017obex.sys (MCCI Corporation)
DRV - (s0017bus) Sony Ericsson Device 0017 driver (WDM) -- C:\WINDOWS\system32\drivers\s0017bus.sys (MCCI Corporation)
DRV - (s0017mdfl) -- C:\WINDOWS\system32\drivers\s0017mdfl.sys (MCCI Corporation)
DRV - (s0017mgmt) Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s0017mgmt.sys (MCCI Corporation)
DRV - (s0017nd5) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS) -- C:\WINDOWS\system32\drivers\s0017nd5.sys (MCCI Corporation)
DRV - (seehcri) -- C:\WINDOWS\system32\drivers\seehcri.sys (Sony Ericsson Mobile Communications)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (RT2500) -- C:\WINDOWS\system32\drivers\RT2500.sys (Ralink Technology Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (kbfilter) -- C:\WINDOWS\System32\drivers\kbfilter.sys (WayTech Development, Inc.)
DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)
DRV - (AX88172) -- C:\WINDOWS\system32\drivers\AX88172.sys (ASIX Electronics Corp.)
DRV - (FTSER2K) -- C:\WINDOWS\system32\drivers\FTSER2K.SYS (FTDI Ltd.)
DRV - (FTDIBUS) -- C:\WINDOWS\system32\drivers\FTDIBUS.SYS (FTDI Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = InterNetCologne.de - Ihr Startplatz in die Online-Welt
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official"
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2006.02.04 15:37:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2006.02.04 15:37:46 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2007.08.14 21:50:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2008.08.26 20:02:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Extensions
[2010.05.03 16:54:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2006.02.05 11:08:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\f6e8g7iu.default\extensions
[2007.09.05 21:59:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\hl3ip7ch.Standard-Benutzer\extensions
[2010.09.14 08:20:22 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\hl3ip7ch.Standard-Benutzer\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.14 08:20:22 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\hl3ip7ch.Standard-Benutzer\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2006.02.04 15:37:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.03 15:51:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:20 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.30 16:17:48 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.30 16:17:48 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.30 16:17:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.30 16:17:48 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.30 16:17:48 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.01.31 17:33:52 | 000,000,847 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O2 - BHO: (EWPBrowseObject Class) - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll ()
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKLM\..\Toolbar: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [UserFaultCheck]  File not found
O4 - HKCU..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe (Adobe Systems Incorporated)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_20.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - Reg Error: Key error. File not found
O15 - HKCU\..Trusted Domains: kirstins-kreativecke.de ([www] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([www.update] https in Vertrauenswürdige Sites)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189454282468 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ulead Systems\Ulead Photo Explorer\8.0\Wall Paper\Ulead Photo Explorer.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ulead Systems\Ulead Photo Explorer\8.0\Wall Paper\Ulead Photo Explorer.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{6167033c-33dc-11de-9c6e-001060285de5}\Shell\AutoRun\command - "" = F:\setupSNK.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.02 23:53:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.10.02 16:24:16 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Ralf\Recent
[2010.10.01 14:29:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Malwarebytes
[2010.10.01 14:29:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.01 14:29:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.01 14:29:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.01 14:29:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.01 13:42:39 | 000,000,000 | ---D | C] -- C:\Programme\HijackThis
[2010.10.01 13:26:23 | 000,000,000 | ---D | C] -- C:\avrescue
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.02 23:53:04 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.10.01 15:35:02 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\bctumj.sys
[2010.10.01 14:29:28 | 000,000,580 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.01 13:42:42 | 000,002,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\HiJackThis.lnk
[2010.10.01 08:45:50 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.01 08:43:12 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.01 08:43:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.01 08:43:04 | 1006,161,920 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.30 11:02:50 | 004,456,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\ntuser.dat
[2010.09.30 11:02:36 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Ralf\ntuser.ini
[2010.09.24 13:04:10 | 000,043,544 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\wklnhst.dat
[2010.09.21 09:32:02 | 000,000,162 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\~$pie (3) von Brief 27.06.01.doc
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.01 15:35:00 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\bctumj.sys
[2010.10.01 14:29:27 | 000,000,580 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.01 13:42:41 | 000,002,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\HiJackThis.lnk
[2010.09.21 09:32:01 | 000,000,162 | -H-- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\~$pie (3) von Brief 27.06.01.doc
[2010.05.03 16:46:09 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\test.dll
[2010.03.13 13:21:35 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll0529.old
[2010.03.13 13:21:35 | 000,767,928 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll
[2010.01.21 10:11:49 | 000,000,031 | ---- | C] () -- C:\WINDOWS\DESKCALC.INI
[2009.11.25 16:39:02 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\FKStampPainter20.dll
[2009.11.17 17:13:12 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.10.19 17:51:05 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\Install2500USB.dll
[2009.10.19 17:51:05 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\DEDriverDLL.dll
[2007.12.15 16:47:05 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.12.15 16:30:13 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007.08.15 17:02:33 | 000,000,031 | ---- | C] () -- C:\WINDOWS\LxTrans.INI
[2007.08.15 16:59:49 | 000,015,900 | ---- | C] () -- C:\WINDOWS\LxFrame.ini
[2007.04.10 11:29:50 | 000,282,679 | ---- | C] () -- C:\WINDOWS\System32\dnt27.dll
[2007.04.10 11:29:02 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27.dll
[2007.04.10 11:28:56 | 000,077,881 | ---- | C] () -- C:\WINDOWS\System32\dntvm27.dll
[2007.01.30 16:22:27 | 000,000,144 | ---- | C] () -- C:\WINDOWS\Pcfk32.INI
[2007.01.11 22:15:58 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS7Q.DLL
[2007.01.09 18:19:03 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\IPPCPUID.DLL
[2007.01.09 18:18:39 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\pmsbfn32.dll
[2007.01.09 18:15:52 | 000,000,516 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2006.02.16 20:20:41 | 000,057,344 | ---- | C] () -- C:\WINDOWS\KbHook.dll
[2006.02.08 16:22:18 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.02.08 16:20:56 | 000,000,071 | ---- | C] () -- C:\WINDOWS\pex.INI
[2006.02.08 16:20:14 | 000,000,026 | ---- | C] () -- C:\WINDOWS\ulead32.ini
[2006.02.08 16:18:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uesviewer.INI
[2006.02.07 20:47:01 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.01.17 18:45:22 | 000,000,019 | ---- | C] () -- C:\WINDOWS\LxRegi.INI
[2006.01.17 17:15:32 | 000,000,092 | ---- | C] () -- C:\WINDOWS\System32\ftdiun2k.ini
[2006.01.14 13:11:29 | 000,043,544 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\wklnhst.dat
[2006.01.11 17:09:17 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FKStampPainter.dll
[2006.01.11 17:09:17 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\SBSPAINT.DLL
[2006.01.11 17:09:16 | 000,237,623 | ---- | C] () -- C:\WINDOWS\System32\dnt26.dll
[2006.01.11 17:09:16 | 000,233,527 | ---- | C] () -- C:\WINDOWS\System32\dnt25.dll
[2006.01.11 17:09:16 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll
[2006.01.11 17:09:16 | 000,192,592 | ---- | C] () -- C:\WINDOWS\System32\LxImport30.dll
[2006.01.11 17:09:16 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\W32MKRC.DLL
[2006.01.11 17:09:16 | 000,094,266 | ---- | C] () -- C:\WINDOWS\System32\LXDasi10.dll
[2006.01.11 17:09:16 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\LxUtl10.dll
[2006.01.11 17:09:16 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc26.dll
[2006.01.11 17:09:16 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc25.dll
[2006.01.11 17:09:16 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll
[2006.01.11 17:09:16 | 000,073,785 | ---- | C] () -- C:\WINDOWS\System32\dntvm26.dll
[2006.01.11 17:09:16 | 000,069,689 | ---- | C] () -- C:\WINDOWS\System32\dntvm25.dll
[2006.01.11 17:09:16 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\PXTTool.dll
[2006.01.11 17:09:16 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll
[2006.01.11 17:09:16 | 000,041,472 | ---- | C] () -- C:\WINDOWS\System32\W32btstp.dll
[2006.01.11 17:09:16 | 000,025,088 | ---- | C] () -- C:\WINDOWS\System32\W32btxlt.dll
[2006.01.11 17:09:16 | 000,015,627 | ---- | C] () -- C:\WINDOWS\System32\WBROLLRS.DLL
[2006.01.10 18:21:13 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.01.04 03:54:13 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.12.09 02:18:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\CNCFLbNL.DLL
[2005.05.04 14:00:06 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\MMedia10VC7.dll
[2005.02.22 10:44:16 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.02.22 10:27:18 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\installrt2500qa.dll
[2005.02.22 09:18:07 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2005.02.22 09:17:37 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2005.02.22 09:12:53 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2004.05.06 14:07:32 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\dnt26VC7.dll
[2004.05.06 14:05:04 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvmc26VC7.dll
[2004.05.06 14:04:42 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\dntvm26VC7.dll
[2004.01.05 18:40:46 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2004.01.05 18:39:03 | 000,004,600 | ---- | C] () -- C:\WINDOWS\GfT_Modem.ini
[1980.01.01 00:00:00 | 000,000,609 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[1980.01.01 00:00:00 | 000,000,183 | ---- | C] () -- C:\WINDOWS\BOOT.INI
< End of report >
--- --- ---

Habe übrigens einen zweiten Rechner am Netz, so dass ich mit diesem befallenen nicht immer am Netz sein muß.

Kann heute leider nicht den ganzen Tag am Netz sein und reagieren. Werde mich bei allem so schnell wie mögich jedoch meldden. Schon mal schönen Dank

cosinus 04.10.2010 17:32
Zitat:
Drive C: | 46,87 Gb Total Space | 18,47 Gb Free Space | 39,41% Space Free | Partition Type: FAT32
Drive D: | 25,68 Gb Total Space | 22,89 Gb Free Space | 89,13% Space Free | Partition Type: FAT32
Wer hat Dir den Rechner installiert?
FAT32 ist heute nicht mehr zeitgemäß, schon garnicht für die Systempartition, das müssen wir nachher unbedingt ändern!!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
[2010.10.01 15:35:02 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\bctumj.sys
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

merenga 05.10.2010 14:46
Der Rechner ist bereits 5 Jahre alt und hat uns immer problemlos treue Dienste gehalten. Wer die Partitiionen angelegt hat, weiß ich nicht mehr, ist zu lange her, vermutlich ich selber.

Habe alle Programme geschlossen und OTL wie gewünscht ausgeführt.

Hier das Logfile was nach Neustart des Rechners von OTL geschrieben wurde:

All processes killed
========== OTL ==========
C:\WINDOWS\system32\drivers\bctumj.sys moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 34156 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 34583 bytes
->FireFox cache emptied: 2904301 bytes

User: Ralf
->Temp folder emptied: 3828510 bytes
->Temporary Internet Files folder emptied: 169158 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42171598 bytes
->Flash cache emptied: 2316 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33347976 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 79,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10052010_153529

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

merenga 05.10.2010 15:13
Habe noch eine kleine Ergänzung. Seid gestern funktioniert die externe Tastatur an dem Laptop nicht mehr. Ist zwar im Moment nicht weiter schlimm, aber schon merkwürdig. Der Geräte Manager meldet keinerlei Probleme z.B. mit dem USB-Anschluß der Tastatur.

cosinus 05.10.2010 18:49
Andere USB-Geräte funktionieren aber ohne Probleme?

Dann bitte erstmal CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

merenga 05.10.2010 19:46
ComboFix meldet das der Real-Time-Scanner von AntiVir Perosnal Edition noch aktiv ist, dabei habe ich diesen, wie in der Anleitung die im der ComboFix Leitfaden enthalten ist, deaktiviert, der Regenschirm in der Taskleiste rechts unten ist geschlossen. Soll ich ComboFix trotzdem starten?

cosinus 05.10.2010 20:06
Ja, dann kannst Du CF ruhig starten, ist ein Bug von AntiVir.

merenga 05.10.2010 20:35
So erledigt! Erst einmal danke für deine schnelle Antwort. Es war übringens nur die USB-Tastatur die nicht funktionierte.
Die Tastatur funktioniert nach CCleaner und ComboFix wieder.
Hier das logfile:
Combofix Logfile:
Code:
ComboFix 10-10-05.01 - Ralf 05.10.2010  21:20:49.2.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.959.667 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ralf\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {804FD2B8-FFA4-011E-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010C-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Ralf\setup_dm_Fotowelt.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-05 bis 2010-10-05  ))))))))))))))))))))))))))))))
.

2010-10-05 17:12 . 2010-10-05 17:12        --------        d-----w-        c:\windows\LastGood
2010-10-05 17:12 . 2003-03-27 23:20        10496        ----a-w-        c:\windows\system32\drivers\AX88172.SYS
2010-10-05 17:12 . 2003-03-27 23:20        10496        ----a-w-        c:\windows\system32\AX88172.SYS
2010-10-05 17:12 . 2002-04-03 10:09        49457        ----a-w-        c:\windows\system32\FTSER2K.SYS
2010-10-05 17:12 . 2002-04-03 10:09        49457        ----a-w-        c:\windows\system32\drivers\FTSER2K.SYS
2010-10-05 17:12 . 2002-04-03 10:09        18102        ----a-w-        c:\windows\system32\FTDIBUS.SYS
2010-10-05 17:12 . 2002-04-03 10:09        18102        ----a-w-        c:\windows\system32\drivers\FTDIBUS.SYS
2010-10-05 17:12 . 2001-08-28 17:41        414208        ----a-w-        c:\windows\system32\Ftdiunin.exe
2010-10-05 17:03 . 2004-05-21 11:43        8704        ----a-w-        c:\windows\system32\drivers\UsbFltr.sys
2010-10-05 17:03 . 2003-08-05 09:21        358400        ----a-w-        c:\windows\callvers.exe
2010-10-05 17:03 . 2003-07-16 15:49        57344        ----a-w-        c:\windows\system32\KbHook.dll
2010-10-05 17:03 . 2010-10-05 17:03        --------        d-----w-        c:\programme\Magic Keyboard
2010-10-05 13:35 . 2010-10-05 13:35        --------        d-----w-        C:\_OTL
2010-10-02 21:53 . 2010-10-02 21:53        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-10-01 12:29 . 2010-10-01 12:29        --------        d-----w-        c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Malwarebytes
2010-10-01 12:29 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 12:29 . 2010-10-01 12:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 12:29 . 2010-10-01 12:29        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-01 12:29 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-10-01 11:42 . 2010-10-01 11:42        388096        ----a-r-        c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-05 16:28 . 1979-12-31 22:00        96972        ----a-w-        c:\windows\system32\perfc007.dat
2010-10-05 16:28 . 1979-12-31 22:00        486812        ----a-w-        c:\windows\system32\perfh007.dat
2010-10-05 13:31 . 2006-01-14 11:11        43682        ----a-w-        c:\dokumente und einstellungen\Ralf\Anwendungsdaten\wklnhst.dat
2010-08-17 13:17 . 1979-12-31 22:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 1979-12-31 22:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2010-07-21 11:42 . 2010-03-13 11:21        767928        ----a-w-        c:\windows\BDTSupport.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Programm Magic Keyboard aktivieren.lnk - c:\programme\Magic Keyboard\Versato.exe [2010-10-5 245760]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-11-03 11:21        339240        ----a-w-        c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43        248040        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\mmc.exe"=
"c:\\WINDOWS\\ISW\\netcol.dsl\\signup\\signup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Buderus\\KommMan.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [08.05.2009 22:55 218592]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [20.07.2009 18:14 971168]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [16.02.2006 20:20 12032]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 20:17 135336]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [13.03.2010 13:21 112592]
R3 arusb(TP-LINK);Atheros Wireless Network Adapter Service(TP-LINK);c:\windows\system32\drivers\arusb.sys [28.10.2009 16:40 458240]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [23.11.2009 20:30 27632]
R3 UsbFltr;WayTech USB Filter Driver;c:\windows\system32\drivers\UsbFltr.sys [05.10.2010 19:03 8704]
S0 iihl;iihl;c:\windows\system32\drivers\bctumj.sys --> c:\windows\system32\drivers\bctumj.sys [?]
S0 rseb;rseb; [x]
S3 AX88172;Belkin USB 2.0 to Fast Ethernet Adapter;c:\windows\system32\drivers\AX88172.SYS [05.10.2010 19:12 10496]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [19.06.2009 22:47 13224]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [19.06.2009 22:13 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [19.06.2009 22:13 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [19.06.2009 22:13 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [19.06.2009 22:13 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [19.06.2009 22:13 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [19.06.2009 22:13 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [19.06.2009 22:13 117672]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [11.07.2008 12:57 366840]
.
Inhalt des "geplante Tasks" Ordners

2010-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.benq.com/
uInternet Settings,ProxyOverride = <local>
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
Trusted Zone: kirstins-kreativecke.de\www
Trusted Zone: microsoft.com\www.update
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\hl3ip7ch.Standard-Benutzer\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
Zeit der Fertigstellung: 2010-10-05  21:28:36
ComboFix-quarantined-files.txt  2010-10-05 19:28

Vor Suchlauf: 17 Verzeichnis(se), 19.491.028.992 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 19.552.272.384 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP" /fastdetect


- - End Of File - - 6FEDF04FFFA821B3CA751C4A722F8EBE
--- --- ---
Bin richtig gespannt, was noch kommt. Dankeeeee

cosinus 06.10.2010 08:45
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

merenga 06.10.2010 13:50
Hier der report von GMER:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2010-10-06 14:47:05
Windows 5.1.2600 Service Pack 3
Running: bbng8p5c.exe; Driver: C:\DOKUME~1\Ralf\LOKALE~1\Temp\kfldykow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 02: copy of MBR

---- System - GMER 1.0.15 ----

Code \??\C:\DOKUME~1\Ralf\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

merenga 06.10.2010 14:03
Und nun das log file von osam:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 15:01:13 on 06.10.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager (Build 380)" (snapman380) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snman380.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Acronis Try&Decide and Restore Points filter (build 140)" (tdrpman140) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm140.sys
"AEGIS Protocol (IEEE 802.1x) v3.7.5.0" (AegisP) - "Cisco Systems, Inc." - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"AMD Athlon64-Prozessortreiber" (AmdK8) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\AmdK8.sys
"Atheros Wireless Network Adapter Service(TP-LINK)" (arusb(TP-LINK)) - "Atheros Communications, Inc." - C:\WINDOWS\System32\DRIVERS\arusb.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Ralf\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"iihl" (iihl) - ? - C:\WINDOWS\System32\drivers\bctumj.sys  (File not found)
"Keyboard Filter Driver" (kbfilter) - "WayTech Development, Inc." - C:\WINDOWS\system32\drivers\kbfilter.sys
"kfldykow" (kfldykow) - ? - C:\DOKUME~1\Ralf\LOKALE~1\Temp\kfldykow.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\DOKUME~1\Ralf\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PCTools KDS" (PCTCore) - "PC Tools" - C:\WINDOWS\System32\drivers\PCTCore.sys
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"rseb" (rseb) - ? - C:\WINDOWS\system32\drivers\rseb.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VIA Rhine Family Fast Ethernet Adapter Driver Service" (FETNDISB) - "VIA Technologies, Inc.              " - C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{AB77609F-2178-4E6F-9C4B-44AC179D937A} "a² Context Menu Shell Extension" - ? -  (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -  (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll
{A1EDC4A1-940F-48E0-8DFD-E38F1D501021} "Spyware Doctor" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
{472734EA-242A-422B-ADF8-83D1E48CC825} "PC Tools Browser Guard" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE} "EWPBrowseObject Class" - ? - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{2A0F3D1B-0909-4FF4-B272-609CCE6054E7} "PC Tools Browser Guard BHO" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Programm Magic Keyboard aktivieren.lnk" - ? - C:\Programme\Magic Keyboard\Versato.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Browser Defender Update Service" (Browser Defender Update Service) - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"PC Tools Auxiliary Service" (sdAuxService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsAuxs.exe
"PC Tools Security Service" (sdCoreService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

merenga 06.10.2010 14:07
Und nun auch die txt-datei von mbrcheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 135):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7A3C000 \WINDOWS\system32\KDCOM.DLL
0xF794C000 \WINDOWS\system32\BOOTVID.dll
0xF741B000 fltmgr.sys
0xF73EC000 ACPI.sys
0xF7A3E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF73DB000 pci.sys
0xF753C000 isapnp.sys
0xF7950000 compbatt.sys
0xF7954000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7A40000 viaide.sys
0xF77BC000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF73BD000 pcmcia.sys
0xF754C000 MountMgr.sys
0xF739E000 ftdisk.sys
0xF7958000 ACPIEC.sys
0xF7B04000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF77C4000 PartMgr.sys
0xF755C000 VolSnap.sys
0xF7386000 atapi.sys
0xF756C000 disk.sys
0xF757C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7374000 sr.sys
0xF733B000 PCTCore.sys
0xF7317000 Fastfat.sys
0xF7300000 KSecDD.sys
0xF72ED000 WudfPf.sys
0xF72C0000 NDIS.sys
0xF723D000 timntr.sys
0xF7151000 tdrpm140.sys
0xF7131000 snman380.sys
0xF7117000 Mup.sys
0xF758C000 gagp30kx.sys
0xEFE4E000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF70B7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xED257000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xED243000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xEFCE0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xED21F000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xEFCD8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xEFE3E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF70B3000 \SystemRoot\System32\Drivers\kbfilter.SYS
0xEFCD0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xED1F1000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7ABC000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xEFCC8000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xEFE2E000 \SystemRoot\system32\DRIVERS\imapi.sys
0xEFE1E000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xEFE0E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xED1CE000 \SystemRoot\system32\DRIVERS\ks.sys
0xED10F000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xED0EB000 \SystemRoot\system32\drivers\portcls.sys
0xEFDFE000 \SystemRoot\system32\drivers\drmk.sys
0xED089000 \SystemRoot\system32\drivers\ALCXSENS.SYS
0xECF52000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xEFCC0000 \SystemRoot\System32\Drivers\Modem.SYS
0xED8E6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xEFDEE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF4847000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xECF3B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75DC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xEFC34000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xEFCB8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xECF2A000 \SystemRoot\system32\DRIVERS\psched.sys
0xEFC24000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xEE8E2000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xEE8DA000 \SystemRoot\system32\DRIVERS\raspti.sys
0xEE53A000 \SystemRoot\system32\DRIVERS\termdd.sys
0xEE8D2000 \SystemRoot\system32\DRIVERS\seehcri.sys
0xF7A94000 \SystemRoot\system32\DRIVERS\swenum.sys
0xEDC7C000 \SystemRoot\system32\DRIVERS\update.sys
0xEEDBF000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEE51A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEE50A000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7A96000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xEDFFB000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A98000 \SystemRoot\System32\Drivers\Beep.SYS
0xEE8B2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xEE8AA000 \SystemRoot\System32\drivers\vga.sys
0xF7A9C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AB8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEE8A2000 \SystemRoot\System32\Drivers\Msfs.SYS
0xEE89A000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEE86A000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEB01F000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEB197000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEB16F000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEB14D000 \SystemRoot\System32\drivers\afd.sys
0xEE4FA000 \SystemRoot\system32\DRIVERS\netbios.sys
0xEDEDB000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEB122000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEB0B2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xEE4DA000 \SystemRoot\System32\Drivers\Fips.SYS
0xECE64000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEE4CA000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xECE42000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xED70E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xEE1CC000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEDED3000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xEE063000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xEDECB000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xEDEC3000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xEB007000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xED706000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xEDD68000 \SystemRoot\System32\drivers\Dxapi.sys
0xEDEB3000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B24000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB1FAB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEFBD4000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xEFCA0000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xEB1F8000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB1EF6000 \SystemRoot\system32\drivers\wdmaud.sys
0xED307000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1C92000 \SystemRoot\system32\DRIVERS\srv.sys
0xB176C000 \SystemRoot\System32\Drivers\HTTP.sys
0xED2C1000 \SystemRoot\system32\drivers\ftdibus.sys
0xB152F000 \SystemRoot\system32\drivers\ftser2k.sys
0xB1A99000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB1DB2000 \SystemRoot\System32\Drivers\UsbFltr.sys
0xB1971000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB147D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB1DA6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB1C09000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xED281000 \??\C:\DOKUME~1\Ralf\LOKALE~1\Temp\catchme.sys
0xF7ABE000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xF7844000 \??\C:\DOKUME~1\Ralf\LOKALE~1\Temp\mbr.sys
0xB0848000 \??\C:\DOKUME~1\Ralf\LOKALE~1\Temp\kfldykow.sys
0xB081D000 \SystemRoot\system32\drivers\kmixer.sys
0xB06ED000 \SystemRoot\system32\DRIVERS\arusb.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 30):
0 System Idle Process
4 System
480 C:\WINDOWS\System32\SMSS.EXE
572 CSRSS.EXE
596 C:\WINDOWS\System32\WINLOGON.EXE
640 C:\WINDOWS\System32\SERVICES.EXE
652 C:\WINDOWS\System32\LSASS.EXE
812 C:\WINDOWS\System32\SVCHOST.EXE
876 SVCHOST.EXE
916 C:\WINDOWS\System32\SVCHOST.EXE
960 C:\WINDOWS\System32\SVCHOST.EXE
1224 SVCHOST.EXE
1248 SVCHOST.EXE
1368 C:\WINDOWS\System32\SPOOLSV.EXE
1404 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE
1532 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\SCHEDUL2.EXE
1544 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE
1580 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
1612 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE
1652 C:\Programme\Java\JRE6\BIN\JQS.EXE
1748 C:\WINDOWS\System32\SVCHOST.EXE
556 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE
2200 C:\WINDOWS\System32\WBEM\wmiapsrv.exe
2288 alg.exe
4056 C:\WINDOWS\EXPLORER.EXE
2532 C:\WINDOWS\System32\dllhost.exe
3088 msdtc.exe
4084 C:\WINDOWS\System32\NOTEPAD.EXE
1384 C:\Programme\Mozilla Firefox\firefox.exe
2688 C:\Dokumente und Einstellungen\Ralf\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`b86c4e00 (FAT32)

PhysicalDrive0 Model Number: ST9808210A, Rev: 3.01

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 087E1D8DCB70B7DAA9F477E219BE244188A3A9DC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Das erwähnte Laufwerk ist die zweite Partition oder?

cosinus 06.10.2010 19:28
Zitat:
"iihl" (iihl) - ? - C:\WINDOWS\System32\drivers\bctumj.sys (File not found)
"rseb" (rseb) - ? - C:\WINDOWS\system32\drivers\rseb.sys (File not found)
Diese beiden Einträge mit OSAM fixen und löschen (delete from storage), geh nach der Anleitung zu OSAM vor. Poste dann ein neues Log.

Außerdem muss danach der MBR gefixt werden. Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. (wurde von combofix installiert)

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

merenga 06.10.2010 20:16
Hallo Arne,

habe OSAM wie in der Anleitung beschrieben ausgeführt und die beiden Haken entfernt. Nach Neustart des Systems habe ich aber irgendwie kein logfile gefunden. Wo finde ich das noch?

cosinus 06.10.2010 20:37
Öhm, das Lofile musst Du neu erstellen, indem Du OSAM wie beim ersten Mal wieder ausführst :D

merenga 06.10.2010 21:13
Hallo Arne,
also irgendwie funktioniert das hier nicht. Nach dem Scan in der Auflistung in der ich die Haken deaktivieren soll, fehlen die beiden Einträge nun komplett. Also kann ich auch nichts deaktivieren oder löschen. Was nun?

merenga 06.10.2010 21:24
Nun nochmal ganz von vorne, hier ist das OSAM 1. logfile nochmal:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 22:22:13 on 06.10.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager (Build 380)" (snapman380) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snman380.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Acronis Try&Decide and Restore Points filter (build 140)" (tdrpman140) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm140.sys
"AEGIS Protocol (IEEE 802.1x) v3.7.5.0" (AegisP) - "Cisco Systems, Inc." - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"AMD Athlon64-Prozessortreiber" (AmdK8) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\AmdK8.sys
"Atheros Wireless Network Adapter Service(TP-LINK)" (arusb(TP-LINK)) - "Atheros Communications, Inc." - C:\WINDOWS\System32\DRIVERS\arusb.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Ralf\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Keyboard Filter Driver" (kbfilter) - "WayTech Development, Inc." - C:\WINDOWS\system32\drivers\kbfilter.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PCTools KDS" (PCTCore) - "PC Tools" - C:\WINDOWS\System32\drivers\PCTCore.sys
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VIA Rhine Family Fast Ethernet Adapter Driver Service" (FETNDISB) - "VIA Technologies, Inc.              " - C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{AB77609F-2178-4E6F-9C4B-44AC179D937A} "a² Context Menu Shell Extension" - ? -  (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -  (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll
{A1EDC4A1-940F-48E0-8DFD-E38F1D501021} "Spyware Doctor" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
{472734EA-242A-422B-ADF8-83D1E48CC825} "PC Tools Browser Guard" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE} "EWPBrowseObject Class" - ? - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{2A0F3D1B-0909-4FF4-B272-609CCE6054E7} "PC Tools Browser Guard BHO" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Programm Magic Keyboard aktivieren.lnk" - ? - C:\Programme\Magic Keyboard\Versato.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Browser Defender Update Service" (Browser Defender Update Service) - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"PC Tools Auxiliary Service" (sdAuxService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsAuxs.exe
"PC Tools Security Service" (sdCoreService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

Die Einträge sind doch garnicht dabei oder? Ist es richtig, dass du dir den Logfile neu ansiehst?

cosinus 07.10.2010 12:19
Wenn die Einträge weg sind ist das doch gut :)
Hast Du das mit fixmbr und fixboot auch schon gemacht?

merenga 07.10.2010 12:26
Mach ich sobald ich heute Nachmittag zuhause bin

Gruß
Merenga

merenga 07.10.2010 14:14
Hallo Arne,

habe fixmbr und fixboot gemacht.

Hier das neue logfile von MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 131):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7A3C000 \WINDOWS\system32\KDCOM.DLL
0xF794C000 \WINDOWS\system32\BOOTVID.dll
0xF741B000 fltmgr.sys
0xF73EC000 ACPI.sys
0xF7A3E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF73DB000 pci.sys
0xF753C000 isapnp.sys
0xF7950000 compbatt.sys
0xF7954000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7A40000 viaide.sys
0xF77BC000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF73BD000 pcmcia.sys
0xF754C000 MountMgr.sys
0xF739E000 ftdisk.sys
0xF7958000 ACPIEC.sys
0xF7B04000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF77C4000 PartMgr.sys
0xF755C000 VolSnap.sys
0xF7386000 atapi.sys
0xF756C000 disk.sys
0xF757C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7374000 sr.sys
0xF733B000 PCTCore.sys
0xF7317000 Fastfat.sys
0xF7300000 KSecDD.sys
0xF72ED000 WudfPf.sys
0xF72C0000 NDIS.sys
0xF723D000 timntr.sys
0xF7151000 tdrpm140.sys
0xF7131000 snman380.sys
0xF7117000 Mup.sys
0xF758C000 gagp30kx.sys
0xF779C000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF70AB000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF6BD5000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xF6BC1000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF780C000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6B9D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7814000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77AC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF70A7000 \SystemRoot\System32\Drivers\kbfilter.SYS
0xF781C000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xED3DE000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AC6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xEE9D0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xEEAEB000 \SystemRoot\system32\DRIVERS\imapi.sys
0xEEADB000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xEEACB000 \SystemRoot\system32\DRIVERS\redbook.sys
0xED3BB000 \SystemRoot\system32\DRIVERS\ks.sys
0xED324000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xED300000 \SystemRoot\system32\drivers\portcls.sys
0xEEABB000 \SystemRoot\system32\drivers\drmk.sys
0xED29E000 \SystemRoot\system32\drivers\ALCXSENS.SYS
0xED167000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xEE9C8000 \SystemRoot\System32\Drivers\Modem.SYS
0xEEA41000 \SystemRoot\system32\DRIVERS\audstub.sys
0xEEAAB000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF5024000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xED11E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xEEA9B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xEEA8B000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xEE9C0000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xED10D000 \SystemRoot\system32\DRIVERS\psched.sys
0xEEA7B000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xEF058000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xEF050000 \SystemRoot\system32\DRIVERS\raspti.sys
0xEF12A000 \SystemRoot\system32\DRIVERS\termdd.sys
0xEF048000 \SystemRoot\system32\DRIVERS\seehcri.sys
0xEDD65000 \SystemRoot\system32\DRIVERS\swenum.sys
0xEF611000 \SystemRoot\system32\DRIVERS\update.sys
0xEE408000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEF10A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEF0FA000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xEDD63000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xEFBDB000 \SystemRoot\System32\Drivers\Null.SYS
0xEDD61000 \SystemRoot\System32\Drivers\Beep.SYS
0xEF028000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xEF020000 \SystemRoot\System32\drivers\vga.sys
0xED9BD000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xED9BB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEF018000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7844000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEEA5B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEB2F5000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEB29C000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEB274000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEB252000 \SystemRoot\System32\drivers\afd.sys
0xEF0EA000 \SystemRoot\system32\DRIVERS\netbios.sys
0xEFAE3000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEB227000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEB1B7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xEF0CA000 \SystemRoot\System32\Drivers\Fips.SYS
0xEB191000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEF0BA000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xEB16F000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xED9B5000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xEF98B000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEFADB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xEEE5C000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xEFAD3000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xEFACB000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xEFAC3000 \SystemRoot\system32\drivers\ftdibus.sys
0xEEE58000 \SystemRoot\System32\Drivers\UsbFltr.sys
0xEEE54000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xEF97B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xEF96B000 \SystemRoot\system32\drivers\ftser2k.sys
0xEEE40000 \SystemRoot\system32\DRIVERS\serenum.sys
0xEB051000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xEB157000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xED9AF000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF5010000 \SystemRoot\System32\drivers\Dxapi.sys
0xEFAB3000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BB3000 \SystemRoot\System32\drivers\dxgthk.sys
0xF5008000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB1FAB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEE4BD000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xEE9A0000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xED472000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB1EF6000 \SystemRoot\system32\drivers\wdmaud.sys
0xEE49D000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1C6A000 \SystemRoot\system32\DRIVERS\srv.sys
0xB190A000 \SystemRoot\System32\Drivers\HTTP.sys
0xB16D7000 \SystemRoot\system32\drivers\kmixer.sys
0xB1667000 \SystemRoot\system32\DRIVERS\arusb.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
480 C:\WINDOWS\System32\SMSS.EXE
584 CSRSS.EXE
608 C:\WINDOWS\System32\WINLOGON.EXE
652 C:\WINDOWS\System32\SERVICES.EXE
664 C:\WINDOWS\System32\LSASS.EXE
824 C:\WINDOWS\System32\SVCHOST.EXE
888 SVCHOST.EXE
928 C:\WINDOWS\System32\SVCHOST.EXE
972 C:\WINDOWS\System32\SVCHOST.EXE
1168 SVCHOST.EXE
1260 SVCHOST.EXE
1284 C:\WINDOWS\EXPLORER.EXE
1396 C:\WINDOWS\System32\SPOOLSV.EXE
1440 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE
1572 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\SCHEDUL2.EXE
1584 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE
1620 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
1676 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE
1700 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE
1728 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
1752 C:\Programme\Java\JRE6\BIN\JQS.EXE
1880 C:\WINDOWS\System32\SVCHOST.EXE
316 C:\WINDOWS\System32\WUAUCLT.EXE
2124 C:\WINDOWS\System32\WBEM\WMIAPSRV.EXE
2200 ALG.EXE
2368 wmiprvse.exe
3464 C:\Dokumente und Einstellungen\Ralf\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`b86c4e00 (FAT32)

PhysicalDrive0 Model Number: ST9808210A, Rev: 3.01

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Gruß
Merenga

cosinus 07.10.2010 15:05
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

merenga 07.10.2010 22:23
Hallo Arne,

hier das logfile von malewarebyte:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4769

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.10.2010 16:59:55
mbam-log-2010-10-07 (16-59-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 201143
Laufzeit: 51 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und nun das logfile von SuperAntiSpyware:

SUPERAntiSpyware Scann-Protokoll
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generiert 10/07/2010 bei 07:48 PM

Version der Applikation : 4.44.1000

Version der Kern-Datenbank : 5648
Version der Spur-Datenbank : 3460

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:21:57

Gescannte Speicherelemente : 440
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6517
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 71059
Erfasste Datei-Elemente : 0

Nach dem fixboot ist der Antivir Regenschirm unten rechts in der Taskleiste nicht mehr da. So kann man nicht sehen ob der Guard aktiv ist. Im Programm Antivir auf der Seite Status sieht man, dass der Guard aktiv ist. Wie bekomme ich den Schirm wieder in die Taskleiste?

merenga 07.10.2010 22:25
Hallo Arne,

vergess das was ich mit Antivir geschrieben habe. es hat nur etwas gedauert. Jetzt ist der Schirm wieder da.

Gruß,
Anke

merenga 08.10.2010 07:33
Hallo Arne,

habe leider noch was.
Nachdem der Spyware Doctor nun wieder aktiv ist meldet er folgende Bedrohung:

Application.NetSpy / Bedrohung Hoch / Prozess: Versato.exe (C:\system32\KbHook.dll)
Datei: C:\WINDOWS\System32\KBHook.dll

sowie

Trojan-Downloader.Murlo 22 Infizierungen in der Registry-Wert unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, und viele weitere unter dem gleichen Pfad

und ebenso gleiche Registry Einträge unter Registry-Schlüssel

und auch noch Trojan.Generic / 4 Infizierungen

Registry-Schlüssel:

HKEY_USERS\S-1-21-2325013841-2939211361-3867630695-1005\Software\Wget

Kann das mit den vielen Viren / Analyseprogrammen zusammen hängen die ich im Moment auf dem Rechner habe?

cosinus 08.10.2010 11:34
Zitat:
Nachdem der Spyware Doctor nun wieder aktiv ist meldet er folgende Bedrohung:

Application.NetSpy / Bedrohung Hoch / Prozess: Versato.exe (C:\system32\KbHook.dll)
Datei: C:\WINDOWS\System32\KBHook.dll
Kannst Du ignorieren ist ein Fehlalarm.
SpywareDoctor kannst Du getrost deinstallieren.
Noch Probleme oder andere Funde?

merenga 08.10.2010 12:33
Hallo Arne,

das finde ich super, dass es Fehlalarme sind. :blabla: Andere Funde sind aktuell nicht aufgetaucht.

Aber ich würde gerne noch deine Hilfe für ein sicheres System in Anspruch nehmen.

Kannst Du mir sagen woher der Trojaner kam, obwohl der Rechner immer mit allen nötigen Updates und Antivir sowie der Windows Firewall aktuell ist?

Welcher Virenscanner bzw. zusätzliche Programme sind gut, insbesondere unter der Betrachtung das der Rechner 5 Jahre alt ist, also ein betagter langsamer Rechner.

Gibt es Einstellungen im Windows XP und System die ich ändern sollte, damit das System sicherer ist?

Außerdem hattest Du zu Anfang erwähnt, dass wir die FAT32 Partitionen veraltet sind, und wir hier was ändern sollten. Auf D: liegen aber wichtige Daten.

Ansonsten vielen Dank für Deine kompetente Hilfe. :daumenhoc. Das war super.

cosinus 08.10.2010 15:23
Zitat:
Kannst Du mir sagen woher der Trojaner kam, obwohl der Rechner immer mit allen nötigen Updates und Antivir sowie der Windows Firewall aktuell ist?
Genau kann man das nicht sagen. Wesentliche Faktoren, um Infektionen zu verhindern, sind auf jeden Fall auch das Verzichten auf Adminrechte und ständiges Aktuellhalten aller Programme, v.a. der kritischen Applikationen wie Java, Flash und PDFReader.
Windows-Firewall an, Updates für Windows und Virenscanner sind schön und gut, allein aber nicht wirklich ausreichend.

Zitat:
Welcher Virenscanner bzw. zusätzliche Programme sind gut, insbesondere unter der Betrachtung das der Rechner 5 Jahre alt ist, also ein betagter langsamer Rechner.
Der Virenscanner ist garnicht so entscheidend. Je nach Sicherheitskonzept kann man auch auf einen im Hintergrund laufenden Scanner verzichten. Ich hab zB zu Hause auf meinen Rechnern keinen im Hintergrund laufenden Virenscanner mehr.

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:
Gibt es Einstellungen im Windows XP und System die ich ändern sollte, damit das System sicherer ist?
Weitgehend oben erklärt. Nicht nur auf die Adminrechte verzichten, gut wär es auch, die automatische Wiedergabe von Wechselmedien (USB-Sticks, CDs etc.) abzuschalten. Denn wenn Du einen Stick mit Autorun-Wurm dranklemmst würde der Schädling automatisch gestartet. Wenn Du dann noch Adminrechte hast und der Virenscanner kennt den Schädling nicht, ist die Infektion da, ohne dass Du was weiteres gemacht hast, als nur den (infizierten) Stick eingesteckt zu haben...
Empfehlenswert ist es auch, dass man Windows so einstellt, dass es die Anzeige der Dateinamenserweiterungen bekannter Dateitypen nicht mehr unterdrückt. Also zB wird eine "setup.exe" standardmäßig als "setup" angezeigt. Diesen Umstand machen sich manche Schädlinge zu Nutze, indem sie sich als "britney_spears_nackt.jpg.exe" oder sowas in Mailanhängen ausgeben, Windows dann aber nur "britney_spears_nackt.jpg" anzeigt, und schon glaubt der user er klickt auf ein jpg-Bild :rolleyes:


Zitat:
Außerdem hattest Du zu Anfang erwähnt, dass wir die FAT32 Partitionen veraltet sind, und wir hier was ändern sollten. Auf D: liegen aber wichtige Daten.
Kann man ohne Datenverlust zu NTFS konvertieren.
convert c: /fs:ntfs => für die Systempartition
convert d: /fs:ntfs => für Laufwerk D:


Systempartition nach NTFS konvertieren:
1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

merenga 08.10.2010 15:44
Hallo Arne,

danke für die Tipps, werde Benutzerkonto einrichten, alle übrigen Vorsichtsmaßnahme befolgen wir bereits. Schade, dass es trotzdem passiert ist.:confused:

Nun zu der Umstellung auf NTFS. Nachdem ich cmd eingetippt habe erscheint das schwarze Fenster.
Der Pfad der dort dann angezeigt wird ist C:\Dokumente und Einstellung\Ralf>
Nach der Eingabe von dem Befehl convert.... erscheint die Meldung, dass CONVERT nicht ausgeführt werden kann, da das Volume von einem anderen Prozess verwendet wird. Die Bereitstellung des Volumes muss zuerst aufgehoben werden. Alle offenen Bezüge auf dieses Volume sind dann ungültig. Möchten Sie die Bereitstellung des Volumes aufheben? (J/N)

Bevor ich was kaputt mache, geb mir bitte Bescheid was ich hier tuen muß.
Danke...:rolleyes:

cosinus 08.10.2010 18:41
Ja Du musst alles bejahen. Windows kann seine Systempartition nicht im laufenden Betrieb konvertieren.

merenga 08.10.2010 19:45
Hallo Arne,

hat alles super geklappt.:o:o

Habe auch noch den Adobe reader gegen den Foxit getauscht. Altversionen von Java entfernt und die neue installiert. Wie kann ich nochmal einstellen, dass die Dateiendungen immer angezeigt werden?

Im übrigen, welche der für die Reinigung notwendigen Programme soll ich auf dem Rechner lassen, und welche lohnen sich nicht, also weg damit.
Es waren: GMER, Osam, MBRCheck, SuperAntispyware, HiJackThis, cofi...exe, und Malewarebytes Anti-Malware.

Ansonsten noch mal einen riiiiiiesen großen Dank an deine tolle Hilfe. Ich werde euch weiter empfehlen. :taenzer:

Gruß
Merenga

cosinus 08.10.2010 20:22
Zitat:
Es waren: GMER, Osam, MBRCheck, SuperAntispyware, HiJackThis, cofi...exe, und Malewarebytes Anti-Malware.
Wenn Du keins mehr haben willst, können alle weg. An für sich stören die aber nicht, da die nur dann gestartet werden, wenn Du es machst ;)
Gerade Malwarebytes kann hin und wieder recht sinnvoll sein. Das Tool muss aber vor jedem manuellen Scan auch manuell aktualisieren werden!

Ansonsten wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131