Trojaner-Board - Wie die Kopie eines Virus entfernen?

Hallo Arne,
habe alles abgearbeitet und füge unten die cofi.log ein.
Gruß
Manfred

Combofix Logfile:

Code:

ComboFix 10-10-10.02 - xxx 11.10.2010  12:34:19.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2536 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe

AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Gast\Error.log

C:\install.exe

c:\programme\Gemeinsame Dateien\WinSoftware

c:\programme\INSTALL.LOG

c:\programme\sysguard

c:\windows\ktkm2.dll

c:\windows\ktkm3.dll

c:\windows\ktkm34.dll

c:\windows\ktkm36.dll

c:\windows\ktkm4.dll

c:\windows\ktkm8.dll

c:\windows\system32\instsrv.exe

c:\windows\system32\temp#01.exe

c:\windows\system32\twain.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_ISEXENG
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-09-11 bis 2010-10-11  ))))))))))))))))))))))))))))))

.
 

2010-10-11 06:46 . 2010-09-09 22:52        6084944        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E6105D8E-7172-4773-AFC5-BE6F2A5361B1}\mpengine.dll

2010-10-11 06:33 . 2010-10-11 06:33        --------        d-----w-        C:\_OTL

2010-10-10 13:22 . 2010-10-10 13:22        --------        d-----w-        c:\programme\FSX Banking Camera

2010-10-08 06:22 . 2010-10-08 06:22        77312        ----a-w-        C:\mbr.exe

2010-10-04 08:41 . 2010-10-04 15:04        --------        d-----w-        c:\dokumente und einstellungen\mani

2010-10-01 06:58 . 2010-10-01 06:58        --------        d-----w-        c:\programme\ERUNT

2010-09-29 13:55 . 2010-09-29 13:55        --------        d-----w-        c:\programme\FreeTime

2010-09-29 13:45 . 2010-09-29 13:45        --------        d-----w-        c:\windows\system32\wbem\Repository

2010-09-26 10:19 . 2008-04-14 05:52        26624        ----a-w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2010-09-26 10:07 . 2010-09-26 10:07        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Xara

2010-09-26 09:55 . 2010-09-26 09:55        --------        d-----w-        c:\programme\MAGIX

2010-09-26 09:55 . 2010-09-26 09:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX

2010-09-26 09:55 . 2010-09-26 09:55        --------        d-----w-        c:\programme\Gemeinsame Dateien\MAGIX Services

2010-09-22 16:10 . 2010-09-22 16:10        103864        ----a-w-        c:\programme\Internet Explorer\PLUGINS\nppdf32.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll

2010-09-21 13:31 . 2010-09-21 13:32        --------        d-----w-        c:\programme\QuickTime

2010-09-17 06:14 . 2010-09-17 06:14        --------        d-----w-        c:\programme\Quicken2011

2010-09-11 16:24 . 2010-09-11 16:27        125274        ----a-w-        c:\programme\Microsoft Games\Microsoft Flight Simulator X\Uninstal_ejets_fsx_wilco.exe

2010-09-11 14:21 . 2010-09-11 14:21        --------        d-----r-        C:\Sandbox
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.
 

------- Sigcheck -------
 

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys

[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys

[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\atapi.sys

[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0020\DriverFiles\i386\atapi.sys

[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0033\DriverFiles\i386\atapi.sys

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tipguard.exe"="REM" [X]

"AutoStart-Manager"="REM" [X]

"Skype"="REM" [X]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]

"Alltagsplaner"="c:\programme\Alltags-Planer\Planer.exe" [2006-01-22 1092608]

"SandboxieControl"="c:\programme\PC_Fehler\SbieCtrl.exe" [2010-08-09 389352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RegSweep"="REM" [X]

"iTunesHelper"="REM" [X]

"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-09-07 202256]

"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-09-21 161336]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

"TrayServer"="c:\programme\MAGIX\Video_deluxe_17_Plus\TrayServer.exe" [2008-08-07 90112]

"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\

Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]
 

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\

Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alltags-Planer (Ausgabe).lnk]

backup=c:\windows\pss\Alltags-Planer (Ausgabe).lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]

backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1\1&1 EasyLogin
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe]

REM 1&1 EasyLogin HIDE [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=

"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\FWInn\\FWINN.exe"=

"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\Control Panel\\FSFDTCP.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [12.05.2005 17:01 53760]

R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [13.05.2005 15:22 81408]

R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [13.09.2006 08:11 99840]

R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [08.03.2006 17:37 59520]

R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]

R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472]

R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [01.11.2002 03:00 53248]

R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [01.11.2002 02:00 45440]

R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [01.11.2002 02:00 38992]

R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [01.11.2002 02:00 799488]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 gupdate1c98760928644a0;Google Update Service (gupdate1c98760928644a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 08:08 133104]

S3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]

S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [05.12.2006 20:27 705536]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]

S3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [11.09.2002 02:00 484176]

S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]

S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]

S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [03.03.2005 14:23 18118]

S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

S4 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248]

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
 

2010-09-10 c:\windows\Tasks\ConfigExec.job

- c:\programme\Microsoft Fix it Center\MatsApi.dll [2010-04-10 15:05]
 

2009-11-28 c:\windows\Tasks\Driver Robot.job

- c:\programme\Driver Robot\1.2.0.3\DriverRobot.exe [2009-11-28 14:20]
 

2010-10-11 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 13:18]
 

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]
 

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6a395637260.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]
 

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]
 

2010-10-11 c:\windows\Tasks\MP Scheduled Scan.job

- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]
 

2010-10-08 c:\windows\Tasks\Norton Security Scan for steinecke.job

- c:\programme\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-10-05 14:45]
 

2010-10-09 c:\windows\Tasks\ParetoLogic Registration.job

- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\UUS.dll [2009-01-13 14:59]
 

2010-01-10 c:\windows\Tasks\ParetoLogic Update Version2.job

- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-13 14:59]
 

2010-10-11 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1005.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
 

2010-10-11 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1012.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
 

2010-10-11 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1005.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
 

2010-10-05 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1012.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mWindow Title = Microsoft Internet Explorer

mSearch Bar = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = <local>;*.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Download all 4shared files - c:\programme\4shared Desktop\down_all.htm

IE: &Download using 4shared Desktop - c:\programme\4shared Desktop\down_link.htm

IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

Trusted Zone: 1und1.com\www

Trusted Zone: 1und1.de\login

Trusted Zone: cortalconsors.de\www

Trusted Zone: dresdner-privat.de\www

Trusted Zone: entriq.net\man

Trusted Zone: fundorado.de\www

Trusted Zone: impotenz-selbsthilfe.de\www

Trusted Zone: iww.de\www.blopress

Trusted Zone: medikamente-im-test.de\www

Trusted Zone: orchideen-kuhlmann.de\www

Trusted Zone: orchideen-wichmann.de\www

Trusted Zone: photocolor.de\www

Trusted Zone: profidialer.de\www

Trusted Zone: scotts-celaflor.de\www

Trusted Zone: t-online.de\www

Trusted Zone: vhs-kampus.de\www

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKLM-Run-USB2Check - REM RUNDLL32.EXE

HKLM-Run-NvCplDaemon - REM RUNDLL32.EXE

HKLM-Explorer_Run-LdB9pFGrA7 - c:\dokumente und einstellungen\All Users\Anwendungsdaten\kzcrmlqz\whypejyd.exe

AddRemove-Road Wars - c:\programme\spiele\Uninst.isu

AddRemove-Ultimate Terrain X - USA - c:\programme\Microsoft Games\Microsoft Flight Simulator X\UnInst.exe
 
 

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1132)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(3496)

c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Microsoft Security Essentials\MsMpEng.exe

c:\programme\PC_Fehler\SbieSvc.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\System32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-10-11  12:48:41 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-10-11 10:48
 

Vor Suchlauf: 41 Verzeichnis(se), 50.023.141.376 Bytes frei

Nach Suchlauf: 45 Verzeichnis(se), 53.157.687.296 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut
 

- - End Of File - - 6FDA7CF64FBB54023CF4A243782585DC

--- --- ---

Hier das neue log-file:

Combofix Logfile:

Code:

ComboFix 10-10-11.03 - xxx 12.10.2010  12:48:30.2.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2569 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt

AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
 

FILE ::

"c:\windows\system32\drivers\ACEDRV06.sys"

"c:\windows\system32\drivers\SSHDRV76.sys"

"c:\windows\system32\drivers\SSHDRV86.sys"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\drivers\ACEDRV06.sys

c:\windows\system32\drivers\SSHDRV76.sys

c:\windows\system32\drivers\SSHDRV86.sys
 

.

--------------- FCopy ---------------
 

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_ACEDRV06

-------\Legacy_SSHDRV76

-------\Legacy_SSHDRV86

-------\Service_ACEDRV06

-------\Service_SSHDRV76

-------\Service_SSHDRV86
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-09-12 bis 2010-10-12  ))))))))))))))))))))))))))))))

.
 

2010-10-12 10:59 . 2010-10-12 10:59        53248        ----a-w-        c:\temp\catchme.dll

2010-10-12 06:47 . 2010-09-09 22:52        6084944        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CA0A174C-D647-4CF0-9D9F-A26F2DCFA29D}\mpengine.dll

2010-10-11 06:33 . 2010-10-11 06:33        --------        d-----w-        C:\_OTL

2010-10-10 13:22 . 2010-10-10 13:22        --------        d-----w-        c:\programme\FSX Banking Camera

2010-10-08 06:22 . 2010-10-08 06:22        77312        ----a-w-        C:\mbr.exe

2010-10-04 08:41 . 2010-10-04 15:04        --------        d-----w-        c:\dokumente und einstellungen\mani

2010-10-01 06:58 . 2010-10-01 06:58        --------        d-----w-        c:\programme\ERUNT

2010-09-29 13:55 . 2010-09-29 13:55        --------        d-----w-        c:\programme\FreeTime

2010-09-29 13:45 . 2010-09-29 13:45        --------        d-----w-        c:\windows\system32\wbem\Repository

2010-09-26 10:19 . 2008-04-14 05:52        26624        ----a-w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2010-09-26 10:07 . 2010-09-26 10:07        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Xara

2010-09-26 09:55 . 2010-09-26 09:55        --------        d-----w-        c:\programme\MAGIX

2010-09-26 09:55 . 2010-09-26 09:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX

2010-09-26 09:55 . 2010-09-26 09:55        --------        d-----w-        c:\programme\Gemeinsame Dateien\MAGIX Services

2010-09-22 16:10 . 2010-09-22 16:10        103864        ----a-w-        c:\programme\Internet Explorer\PLUGINS\nppdf32.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll

2010-09-21 13:32 . 2010-09-21 13:32        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll

2010-09-21 13:31 . 2010-09-21 13:32        --------        d-----w-        c:\programme\QuickTime

2010-09-17 06:14 . 2010-09-17 06:14        --------        d-----w-        c:\programme\Quicken2011
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tipguard.exe"="REM" [X]

"AutoStart-Manager"="REM" [X]

"Skype"="REM" [X]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]

"Alltagsplaner"="c:\programme\Alltags-Planer\Planer.exe" [2006-01-22 1092608]

"SandboxieControl"="c:\programme\PC_Fehler\SbieCtrl.exe" [2010-08-09 389352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RegSweep"="REM" [X]

"iTunesHelper"="REM" [X]

"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-09-07 202256]

"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-09-21 161336]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

"TrayServer"="c:\programme\MAGIX\Video_deluxe_17_Plus\TrayServer.exe" [2008-08-07 90112]

"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\steinecke\Startmen\Programme\Autostart\

Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]
 

c:\dokumente und einstellungen\steinecke\Startmen\Programme\Autostart\

Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alltags-Planer (Ausgabe).lnk]

backup=c:\windows\pss\Alltags-Planer (Ausgabe).lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]

backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=

"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\FWInn\\FWINN.exe"=

"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\Control Panel\\FSFDTCP.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [08.03.2006 17:37 59520]

R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]

R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472]

R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [01.11.2002 03:00 53248]

R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [01.11.2002 02:00 45440]

R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [01.11.2002 02:00 38992]

R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [01.11.2002 02:00 799488]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 gupdate1c98760928644a0;Google Update Service (gupdate1c98760928644a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 08:08 133104]

S3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]

S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [05.12.2006 20:27 705536]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]

S3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [11.09.2002 02:00 484176]

S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]

S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]

S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [03.03.2005 14:23 18118]

S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

S4 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248]

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
 

2010-09-10 c:\windows\Tasks\ConfigExec.job

- c:\programme\Microsoft Fix it Center\MatsApi.dll [2010-04-10 15:05]
 

2009-11-28 c:\windows\Tasks\Driver Robot.job

- c:\programme\Driver Robot\1.2.0.3\DriverRobot.exe [2009-11-28 14:20]
 

2010-10-12 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 13:18]
 

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]
 

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6a395637260.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]
 

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]
 

2010-10-12 c:\windows\Tasks\MP Scheduled Scan.job

- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]
 

2010-10-08 c:\windows\Tasks\Norton Security Scan for steinecke.job

- c:\programme\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-10-05 14:45]
 

2010-10-09 c:\windows\Tasks\ParetoLogic Registration.job

- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\UUS.dll [2009-01-13 14:59]
 

2010-01-10 c:\windows\Tasks\ParetoLogic Update Version2.job

- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-13 14:59]
 

2010-10-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1005.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
 

2010-10-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1012.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
 

2010-10-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1005.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
 

2010-10-05 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1012.job

- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mWindow Title = Microsoft Internet Explorer

mSearch Bar = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = <local>;*.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Download all 4shared files - c:\programme\4shared Desktop\down_all.htm

IE: &Download using 4shared Desktop - c:\programme\4shared Desktop\down_link.htm

IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

Trusted Zone: 1und1.com\www

Trusted Zone: 1und1.de\login

Trusted Zone: cortalconsors.de\www

Trusted Zone: dresdner-privat.de\www

Trusted Zone: entriq.net\man

Trusted Zone: fundorado.de\www

Trusted Zone: impotenz-selbsthilfe.de\www

Trusted Zone: iww.de\www.blopress

Trusted Zone: medikamente-im-test.de\www

Trusted Zone: orchideen-kuhlmann.de\www

Trusted Zone: orchideen-wichmann.de\www

Trusted Zone: photocolor.de\www

Trusted Zone: profidialer.de\www

Trusted Zone: scotts-celaflor.de\www

Trusted Zone: t-online.de\www

Trusted Zone: vhs-kampus.de\www

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1132)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(3000)

c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Microsoft Security Essentials\MsMpEng.exe

c:\programme\PC_Fehler\SbieSvc.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\System32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-10-12  13:05:16 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-10-12 11:05

ComboFix2.txt  2010-10-11 10:48
 

Vor Suchlauf: 44 Verzeichnis(se), 53.100.265.472 Bytes frei

Nach Suchlauf: 45 Verzeichnis(se), 53.073.379.328 Bytes frei
 

- - End Of File - - B3D3CA1A07E5048967D0671980441DB5

--- --- ---