Trojaner-Board - Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? (https://www.trojaner-board.de/92940-trojaner-gefunden-anleitung-durchgefuehrt.html)

Führ doch einfach CF aus :balla:

Hallo!
habe ct ausgeführt und dann hat das mit einem bluescreen aufgehört mit der Meldung:
STOP:C000021a
windows logon process wurde unerwartet beendet, status 0x80000007
system wurde heruntergefahren.

soll ich den einfach wieder hochfahren oder irgendwas besonderes (abgesicherter modus oder so)?
und was dann machen?
Danke!

Alte cofi löschen, CF neu als cofi herunterladen und bitte nochmal probieren

Habs noch ein zweites Mal durchgeführt, wieder der blue screen aber hier das logfile:
Combofix Logfile:

Code:

ComboFix 10-11-23.01 - Veronika 23.11.2010  22:51:09.2.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.611 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\winlogon.exe . . . ist infiziert!!
 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))

.
 

2010-11-22 12:20 . 2010-11-23 17:36        --------        d-----w-        c:\programme\CCleaner

2010-11-21 22:42 . 1998-06-24 00:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX

2010-11-21 22:42 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll

2010-11-21 22:42 . 2010-11-21 22:43        --------        d-----w-        c:\programme\PDFCreator

2010-11-21 22:42 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL

2010-11-21 22:42 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL

2010-11-21 21:54 . 2010-11-21 21:54        --------        d-----w-        C:\_OTL

2010-11-16 22:04 . 2010-11-16 22:04        --------        d-----w-        c:\programme\ERUNT

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes

2010-11-16 21:33 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-11-16 21:33 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-11-16 20:22 . 2010-11-16 20:22        --------        d-----w-        c:\programme\Outlook Express Freebie Backup

2010-11-16 18:45 . 2010-11-21 23:20        --------        d-----w-        C:\program exe dateien

2010-11-16 18:43 . 2010-11-16 18:43        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software

2010-11-16 18:42 . 2010-11-16 18:42        --------        d-----w-        c:\programme\Foxit Software

2010-11-16 14:49 . 2010-11-22 20:48        --------        d-----w-        c:\windows\system32\NtmsData

2010-11-16 14:48 . 2010-11-21 13:51        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download

2010-11-14 22:23 . 2010-11-14 22:23        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira

2010-11-12 18:46 . 2010-11-12 18:46        4280320        ----a-w-        c:\windows\system32\GPhotos.scr

2010-11-02 14:56 . 2010-11-02 14:56        --------        d-----w-        c:\programme\OpenXML-ODF Translator

2010-11-02 14:52 . 2010-11-02 14:52        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

2010-10-26 09:03 . 2010-10-26 09:03        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-22 20:38 . 2009-11-26 12:56        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-11-16 20:22 . 2008-12-03 15:07        249856        ------w-        c:\windows\Setup1.exe

2010-11-16 20:22 . 2009-01-25 20:24        73216        ----a-w-        c:\windows\ST6UNST.EXE

2010-11-15 23:09 . 2009-11-26 12:56        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-01-13 09:30 . 2009-01-13 09:30        10522112        ----a-w-        c:\programme\vpnclient_setup.msi

2009-01-13 09:30 . 2009-01-13 09:30        56832        ----a-w-        c:\programme\vpnclient_setup.exe

2009-01-13 09:30 . 2009-01-13 09:30        1822520        ----a-w-        c:\programme\instmsiw.exe

2009-01-13 09:30 . 2009-01-13 09:30        1708856        ----a-w-        c:\programme\instmsi.exe

2009-01-13 09:28 . 2009-01-13 09:28        221315        ----a-w-        c:\programme\installservice.exe

2009-01-13 09:27 . 2009-01-13 09:27        16505        ----a-w-        c:\programme\DelayInst.exe

2007-11-21 17:57 . 2007-11-21 17:57        1440047        ----a-w-        c:\programme\wrar371d.exe

2007-07-04 13:00 . 2007-07-04 13:00        4313466        ----a-w-        c:\programme\folderaccess2_0freeware.exe

2006-09-28 18:49 . 2006-09-28 18:49        7129900        ----a-w-        c:\programme\z-dbackup.exe

2006-03-28 17:43 . 2006-03-28 17:43        11817800        ----a-w-        c:\programme\GoogleEarth.exe

2005-12-18 23:15 . 2005-12-18 23:15        12081716        ----a-w-        c:\programme\DM-Foto-Assistent.exe

2005-12-18 08:46 . 2005-12-18 08:45        34412848        ----a-w-        c:\programme\iTunesSetup.exe

2005-11-12 23:27 . 2005-11-12 23:27        613391        ----a-w-        c:\programme\outlook_repair.exe

.
 

------- Sigcheck -------
 

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2004-08-04 13:00 . !HASH: COULD NOT OPEN FILE !!!!! . 507392 . . [------] . . c:\windows\system32\winlogon.exe
 

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe

[-] 2007-06-13 . B90B2D55C704E6BB1375D72635156FFC . 1036288 . . [6.00.2900.3156] . . c:\windows\explorer.exe

[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]

"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]

"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2004-10-15 10:27        110592        ----a-w-        c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk

backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk

backup=c:\windows\pss\Device Detector 3.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

backup=c:\windows\pss\VPN Client.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]

path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk

backup=c:\windows\pss\Dropbox.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]

path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk

backup=c:\windows\pss\Last.fm Helper.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 05:43        69632        ----a-w-        c:\windows\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-11-15 23:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]

2005-04-12 11:17        102400        ----a-r-        c:\windows\ATK0100\HControl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-07-13 12:03        292128        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

2004-09-24 16:22        1916928        ----a-w-        c:\programme\nero\Nero BackItUp\NBJ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]

2004-09-21 15:55        81920        ----a-w-        c:\programme\Asus\Power4 Gear\BatteryLife.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2005-01-12 01:01        32768        ----a-w-        c:\programme\CyberLink\PowrDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2005-05-25 02:37        14477312        ----a-w-        c:\windows\RTHDCPL.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]

2002-12-16 14:51        36864        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-01-25 20:37        136600        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2004-12-22 00:23        688218        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

2004-12-22 00:23        98394        ----a-w-        c:\programme\Synaptics\SynTP\SynTPLpr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]

2003-03-31 17:28        155648        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]

2007-04-11 17:00        32768        ----a-r-        c:\windows\V0470Mon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2007-02-13 18:29        35328        ----a-w-        c:\programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPod Service"=3 (0x3)

"gusvc"=3 (0x3)

"DM1Service"=2 (0x2)

"usnjsvc"=3 (0x3)

"S24EventMonitor"=2 (0x2)

"Adobe LM Service"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\SightSpeed\\SightSpeed.exe"=

"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]

R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]

R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]

R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]

R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]

S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]

S3 I80swebtindm;I80swebtindm; [x]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]

S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.znout.org/index.php?color=black

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab

DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab

FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black

FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-11-23 23:02

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1476)

c:\windows\system32\Ati2evxx.dll

c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

- - - - - - - > 'explorer.exe'(1968)

c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\programme\Intel\Wireless\Bin\EvtEng.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\LckFldService.exe

c:\windows\system32\NMSAccessU.exe

c:\programme\Intel\Wireless\Bin\OProtSvc.exe

c:\programme\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\system32\wdfmgr.exe

c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-11-23  23:09:02 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-11-23 22:08

ComboFix2.txt  2010-11-23 21:35
 

Vor Suchlauf: 19 Verzeichnis(se), 18.536.435.200 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 18.516.918.272 Bytes frei
 

- - End Of File - - 16A61CC7AA6E558513C3E34F3ED9554A

--- --- ---

und hier häng ich dir noch das cf log vom ersten scan an, das hat er dann beim Hochfahren angezeigt.
Lieben Dank!

Ich hab Dir drei Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - cosinus.zip
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\cosinus (Passwort der zip ist veribul )

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code:

/windows/system32/winlogon.exe.vir

/windows/system32/ctfmon.exe.vir

/windows/explorer.exe.vir

7. Kopiere die sauberen Dateien aus dem cosinus-Ordner in die entprechenden Pfade rein:

Code:

/cosinus/explorer.exe => /windows/explorer.exe

/cosinus/winlogon.exe => /windows/system32/winlogon.exe

/cosinus/ctfmon.exe => /windows/system32/ctfmon.exe

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)

8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben :)

brennen von parted magic funktioniert nicht

Hallo!
Danke erstmal!
hab alles runtergeladen und erst mit nero 2x, dann mit imgburn versucht die datei zu brennen als image, aber der pc hat sich jedes mal aufgehängt. bei imgburn hat er von einem fehler gesprochen und es nochmal versucht aber dann ist er auch abgestürzt.
soll ich die datei nochmal neu runterladen? oder geht das auch mit usb-stick?
lg

Das was du runterlädst ist eine zip Datei! Die musst du vorher entpacken, dann kommt eine iso Datei die man als Image brennen kann!

Hab schon versucht das Iso zu brennen, hat an nem anderen PC auch geklappt aber danach hat mir ImgBurn sehr viele Read-errors angezeigt und das starten von der CD hat dann auch nicht geklappt: hat zwar kurz angefanen davon zu booten, aber dann gesagt: error und retry und dann hat er das ganze nochmal angefangen.
kann man das parted magic noch woanders runterladen?
lg

Du machst beim Brennen was flasch. Brenn mal langsamer, max. 16x!

ok, hab dir die Sachen übern den uploadchannel geschickt!
liebe Gruesse, Veronika

Dann jetzt bitte einen neuen Durchgang mit CF machen - die alte cofi vorher löschen und CF wieder als cofi.exe neu herunterladen, Rest wie gehabt.

hier die Logdatei vom neuen CF, lg, Veronika
Combofix Logfile:

Code:

ComboFix 10-11-24.04 - Veronika 25.11.2010  15:58:34.3.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.622 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-10-25 bis 2010-11-25  ))))))))))))))))))))))))))))))

.
 

2010-11-25 15:14 . 2008-04-14 12:00        513024        ----a-w-        c:\windows\system32\winlogon.exe

2010-11-25 15:12 . 2008-04-14 12:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe

2010-11-25 15:11 . 2008-04-14 12:00        1036800        ----a-w-        c:\windows\explorer.exe

2010-11-25 14:17 . 2010-11-25 14:17        --------        d-----w-        c:\windows\system32\LogFiles

2010-11-24 16:17 . 2010-11-24 16:17        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn

2010-11-24 10:54 . 2010-11-24 10:54        --------        d-----w-        c:\programme\ImgBurn

2010-11-24 09:16 . 2010-11-24 09:39        --------        d-----w-        C:\cosinus

2010-11-22 12:20 . 2010-11-23 17:36        --------        d-----w-        c:\programme\CCleaner

2010-11-21 22:42 . 1998-06-24 00:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX

2010-11-21 22:42 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll

2010-11-21 22:42 . 2010-11-21 22:43        --------        d-----w-        c:\programme\PDFCreator

2010-11-21 22:42 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL

2010-11-21 22:42 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL

2010-11-21 21:54 . 2010-11-21 21:54        --------        d-----w-        C:\_OTL

2010-11-16 22:04 . 2010-11-16 22:04        --------        d-----w-        c:\programme\ERUNT

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes

2010-11-16 21:33 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-11-16 21:33 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-11-16 20:22 . 2010-11-16 20:22        --------        d-----w-        c:\programme\Outlook Express Freebie Backup

2010-11-16 18:45 . 2010-11-21 23:20        --------        d-----w-        C:\program exe dateien

2010-11-16 18:43 . 2010-11-16 18:43        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software

2010-11-16 18:42 . 2010-11-16 18:42        --------        d-----w-        c:\programme\Foxit Software

2010-11-16 14:49 . 2010-11-22 20:48        --------        d-----w-        c:\windows\system32\NtmsData

2010-11-16 14:48 . 2010-11-21 13:51        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download

2010-11-14 22:23 . 2010-11-14 22:23        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira

2010-11-12 18:46 . 2010-11-12 18:46        4280320        ----a-w-        c:\windows\system32\GPhotos.scr

2010-11-02 14:56 . 2010-11-02 14:56        --------        d-----w-        c:\programme\OpenXML-ODF Translator

2010-11-02 14:52 . 2010-11-02 14:52        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-22 20:38 . 2009-11-26 12:56        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-11-16 20:22 . 2008-12-03 15:07        249856        ------w-        c:\windows\Setup1.exe

2010-11-16 20:22 . 2009-01-25 20:24        73216        ----a-w-        c:\windows\ST6UNST.EXE

2010-11-15 23:09 . 2009-11-26 12:56        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-01-13 09:30 . 2009-01-13 09:30        10522112        ----a-w-        c:\programme\vpnclient_setup.msi

2009-01-13 09:30 . 2009-01-13 09:30        56832        ----a-w-        c:\programme\vpnclient_setup.exe

2009-01-13 09:30 . 2009-01-13 09:30        1822520        ----a-w-        c:\programme\instmsiw.exe

2009-01-13 09:30 . 2009-01-13 09:30        1708856        ----a-w-        c:\programme\instmsi.exe

2009-01-13 09:28 . 2009-01-13 09:28        221315        ----a-w-        c:\programme\installservice.exe

2009-01-13 09:27 . 2009-01-13 09:27        16505        ----a-w-        c:\programme\DelayInst.exe

2007-11-21 17:57 . 2007-11-21 17:57        1440047        ----a-w-        c:\programme\wrar371d.exe

2007-07-04 13:00 . 2007-07-04 13:00        4313466        ----a-w-        c:\programme\folderaccess2_0freeware.exe

2006-09-28 18:49 . 2006-09-28 18:49        7129900        ----a-w-        c:\programme\z-dbackup.exe

2006-03-28 17:43 . 2006-03-28 17:43        11817800        ----a-w-        c:\programme\GoogleEarth.exe

2005-12-18 23:15 . 2005-12-18 23:15        12081716        ----a-w-        c:\programme\DM-Foto-Assistent.exe

2005-12-18 08:46 . 2005-12-18 08:45        34412848        ----a-w-        c:\programme\iTunesSetup.exe

2005-11-12 23:27 . 2005-11-12 23:27        613391        ----a-w-        c:\programme\outlook_repair.exe

.
 

------- Sigcheck -------
 

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
 

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe

[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
 

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe

[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe

[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]

"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]

"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2004-10-15 10:27        110592        ----a-w-        c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk

backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk

backup=c:\windows\pss\Device Detector 3.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

backup=c:\windows\pss\VPN Client.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]

path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk

backup=c:\windows\pss\Dropbox.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]

path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk

backup=c:\windows\pss\Last.fm Helper.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 05:43        69632        ----a-w-        c:\windows\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-11-15 23:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]

2005-04-12 11:17        102400        ----a-r-        c:\windows\ATK0100\HControl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-07-13 12:03        292128        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

2004-09-24 16:22        1916928        ----a-w-        c:\programme\nero\Nero BackItUp\NBJ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]

2004-09-21 15:55        81920        ----a-w-        c:\programme\Asus\Power4 Gear\BatteryLife.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2005-01-12 01:01        32768        ----a-w-        c:\programme\CyberLink\PowrDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2005-05-25 02:37        14477312        ----a-w-        c:\windows\RTHDCPL.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]

2002-12-16 14:51        36864        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-01-25 20:37        136600        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2004-12-22 00:23        688218        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

2004-12-22 00:23        98394        ----a-w-        c:\programme\Synaptics\SynTP\SynTPLpr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]

2003-03-31 17:28        155648        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]

2007-04-11 17:00        32768        ----a-r-        c:\windows\V0470Mon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2007-02-13 18:29        35328        ----a-w-        c:\programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPod Service"=3 (0x3)

"gusvc"=3 (0x3)

"DM1Service"=2 (0x2)

"usnjsvc"=3 (0x3)

"S24EventMonitor"=2 (0x2)

"Adobe LM Service"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\SightSpeed\\SightSpeed.exe"=

"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]

R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]

R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]

R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]

R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]

S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]

S3 I80swebtindm;I80swebtindm; [x]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]

S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.znout.org/index.php?color=black

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab

DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab

FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black

FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-11-25 16:04

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1476)

c:\windows\system32\Ati2evxx.dll

c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

- - - - - - - > 'explorer.exe'(1264)

c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

.

Zeit der Fertigstellung: 2010-11-25  16:08:20

ComboFix-quarantined-files.txt  2010-11-25 15:08

ComboFix2.txt  2010-11-23 22:09

ComboFix3.txt  2010-11-23 21:35
 

Vor Suchlauf: 20 Verzeichnis(se), 18.068.483.584 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 18.045.926.400 Bytes frei
 

- - End Of File - - 80C93B8310CB286C85AB9BE9CA84E660

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-
 

Driver::

I80swebtindm

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo! hier das neue Log-File:
Combofix Logfile:

Code:

ComboFix 10-11-25.06 - Veronika 26.11.2010  19:17:04.4.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.606 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Veronika\Desktop\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_I80swebtindm
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-10-26 bis 2010-11-26  ))))))))))))))))))))))))))))))

.
 

2010-11-25 15:14 . 2008-04-14 12:00        513024        ----a-w-        c:\windows\system32\winlogon.exe

2010-11-25 15:12 . 2008-04-14 12:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe

2010-11-25 15:11 . 2008-04-14 12:00        1036800        ----a-w-        c:\windows\explorer.exe

2010-11-25 14:17 . 2010-11-25 14:17        --------        d-----w-        c:\windows\system32\LogFiles

2010-11-24 16:17 . 2010-11-24 16:17        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn

2010-11-24 10:54 . 2010-11-24 10:54        --------        d-----w-        c:\programme\ImgBurn

2010-11-24 09:16 . 2010-11-24 09:39        --------        d-----w-        C:\cosinus

2010-11-22 12:20 . 2010-11-23 17:36        --------        d-----w-        c:\programme\CCleaner

2010-11-21 22:42 . 1998-06-24 00:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX

2010-11-21 22:42 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll

2010-11-21 22:42 . 2010-11-21 22:43        --------        d-----w-        c:\programme\PDFCreator

2010-11-21 22:42 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL

2010-11-21 22:42 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL

2010-11-21 21:54 . 2010-11-21 21:54        --------        d-----w-        C:\_OTL

2010-11-16 22:04 . 2010-11-16 22:04        --------        d-----w-        c:\programme\ERUNT

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes

2010-11-16 21:33 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-11-16 21:33 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-11-16 20:22 . 2010-11-16 20:22        --------        d-----w-        c:\programme\Outlook Express Freebie Backup

2010-11-16 18:45 . 2010-11-21 23:20        --------        d-----w-        C:\program exe dateien

2010-11-16 18:43 . 2010-11-16 18:43        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software

2010-11-16 18:42 . 2010-11-16 18:42        --------        d-----w-        c:\programme\Foxit Software

2010-11-16 14:49 . 2010-11-22 20:48        --------        d-----w-        c:\windows\system32\NtmsData

2010-11-16 14:48 . 2010-11-21 13:51        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download

2010-11-14 22:23 . 2010-11-14 22:23        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira

2010-11-12 18:46 . 2010-11-12 18:46        4280320        ----a-w-        c:\windows\system32\GPhotos.scr

2010-11-02 14:56 . 2010-11-02 14:56        --------        d-----w-        c:\programme\OpenXML-ODF Translator

2010-11-02 14:52 . 2010-11-02 14:52        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-22 20:38 . 2009-11-26 12:56        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-11-16 20:22 . 2008-12-03 15:07        249856        ------w-        c:\windows\Setup1.exe

2010-11-16 20:22 . 2009-01-25 20:24        73216        ----a-w-        c:\windows\ST6UNST.EXE

2010-11-15 23:09 . 2009-11-26 12:56        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-01-13 09:30 . 2009-01-13 09:30        10522112        ----a-w-        c:\programme\vpnclient_setup.msi

2009-01-13 09:30 . 2009-01-13 09:30        56832        ----a-w-        c:\programme\vpnclient_setup.exe

2009-01-13 09:30 . 2009-01-13 09:30        1822520        ----a-w-        c:\programme\instmsiw.exe

2009-01-13 09:30 . 2009-01-13 09:30        1708856        ----a-w-        c:\programme\instmsi.exe

2009-01-13 09:28 . 2009-01-13 09:28        221315        ----a-w-        c:\programme\installservice.exe

2009-01-13 09:27 . 2009-01-13 09:27        16505        ----a-w-        c:\programme\DelayInst.exe

2007-11-21 17:57 . 2007-11-21 17:57        1440047        ----a-w-        c:\programme\wrar371d.exe

2007-07-04 13:00 . 2007-07-04 13:00        4313466        ----a-w-        c:\programme\folderaccess2_0freeware.exe

2006-09-28 18:49 . 2006-09-28 18:49        7129900        ----a-w-        c:\programme\z-dbackup.exe

2006-03-28 17:43 . 2006-03-28 17:43        11817800        ----a-w-        c:\programme\GoogleEarth.exe

2005-12-18 23:15 . 2005-12-18 23:15        12081716        ----a-w-        c:\programme\DM-Foto-Assistent.exe

2005-12-18 08:46 . 2005-12-18 08:45        34412848        ----a-w-        c:\programme\iTunesSetup.exe

2005-11-12 23:27 . 2005-11-12 23:27        613391        ----a-w-        c:\programme\outlook_repair.exe

.
 

------- Sigcheck -------
 

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
 

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe

[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
 

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe

[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe

[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]

"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]

"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2004-10-15 10:27        110592        ----a-w-        c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk

backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk

backup=c:\windows\pss\Device Detector 3.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

backup=c:\windows\pss\VPN Client.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]

path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk

backup=c:\windows\pss\Dropbox.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]

path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk

backup=c:\windows\pss\Last.fm Helper.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 05:43        69632        ----a-w-        c:\windows\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-11-15 23:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]

2005-04-12 11:17        102400        ----a-r-        c:\windows\ATK0100\HControl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-07-13 12:03        292128        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

2004-09-24 16:22        1916928        ----a-w-        c:\programme\nero\Nero BackItUp\NBJ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]

2004-09-21 15:55        81920        ----a-w-        c:\programme\Asus\Power4 Gear\BatteryLife.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2005-01-12 01:01        32768        ----a-w-        c:\programme\CyberLink\PowrDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2005-05-25 02:37        14477312        ----a-w-        c:\windows\RTHDCPL.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]

2002-12-16 14:51        36864        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-01-25 20:37        136600        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2004-12-22 00:23        688218        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

2004-12-22 00:23        98394        ----a-w-        c:\programme\Synaptics\SynTP\SynTPLpr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]

2003-03-31 17:28        155648        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]

2007-04-11 17:00        32768        ----a-r-        c:\windows\V0470Mon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2007-02-13 18:29        35328        ----a-w-        c:\programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPod Service"=3 (0x3)

"gusvc"=3 (0x3)

"DM1Service"=2 (0x2)

"usnjsvc"=3 (0x3)

"S24EventMonitor"=2 (0x2)

"Adobe LM Service"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableNotifications"= 1 (0x1)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\SightSpeed\\SightSpeed.exe"=

"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]

R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]

R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]

R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]

R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]

S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]

S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.znout.org/index.php?color=black

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab

DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab

FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black

FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-11-26 19:26

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1472)

c:\windows\system32\Ati2evxx.dll

c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

- - - - - - - > 'explorer.exe'(740)

c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\programme\Intel\Wireless\Bin\EvtEng.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\LckFldService.exe

c:\windows\system32\NMSAccessU.exe

c:\programme\Intel\Wireless\Bin\OProtSvc.exe

c:\programme\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\system32\wdfmgr.exe

c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-11-26  19:32:35 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-11-26 18:32

ComboFix2.txt  2010-11-25 15:08

ComboFix3.txt  2010-11-23 22:09

ComboFix4.txt  2010-11-23 21:35
 

Vor Suchlauf: 20 Verzeichnis(se), 18.447.368.192 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 18.330.970.624 Bytes frei
 

- - End Of File - - 2F68DDACB16C0984ABA7AA52D5680E0E

--- --- ---