Trojaner-Board - Google-Links auf S**-Seiten weitergeleitet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google-Links auf S**-Seiten weitergeleitet (https://www.trojaner-board.de/96805-google-links-s-seiten-weitergeleitet.html)

Google-Links auf S**-Seiten weitergeleitet

Hallo Leute!
Seit ich heute meinen Rechner hochgefahren habe und das erste Mal bei google gesucht habe, kam mir etwas spanisch vor. Die Google-Links in den Suchergebnissen führten nicht zu ihrem eigentlichen Ziel, sondern auf irgendwelche dubiosen S**-Seiten oder ähnliches.

Habe natürlich sofort nachgegoogelt und bei euch im Forum gesehen, dass ich da nicht der einzige mit dem Problem bin.
Da ihr ja überall schreibt, man soll einen eigenen Thread aufmachen und nichts auf eigene Faust versuchen, habe ich lediglich die von euch erbetenen Scans gemacht.

Ich hoffe mir kann jemand helfen! Danke schon einmal im Voraus!
Spook

____________________________________________________________

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Ok!
Ältere Logs sind nicht vorhanden, scanne jetzt grade, Log folgt dann gleich!
Danke schon einmal!

Hallo!
Habe jetzt Malwarebytes drüber laufen lassen, danach wollte er einn Neustart, den habe ich gemacht und jetzt komme ich nicht mehr ins Internet, die Fehlermeldung im Browser lautet:

Die Verbindung zum Proxyserver konnte nicht hergestellt werden, der Zugriff wurde verweigert.

Bin froh, dass mein Bruder nen funktionierenden PC hat. Versuche grade mal, den Log noch rüberzuziehen.

Oder gibt es eine einfache Möglichkeit, bei mir wieder ins Internet reinzukommen? Die Verbindung besteht.

Ok, das Problem hat sich von selbst erledigt, musste nur bei Opera die Proxys deaktivieren...

Hier jetzt der Log von Malwarebytes:

___________________________________________________________

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6158

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

24.03.2011 21:24:12
mbam-log-2011-03-24 (21-24-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 462860
Laufzeit: 1 Stunde(n), 59 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Users\user\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 3396 -> Unloaded process successfully.
c:\Users\user\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> 3676 -> Unloaded process successfully.
c:\Users\user\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> 3808 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\user\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\user\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\0.25035128347818336.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49293

IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\tbWinl.dll (Conduit Ltd.)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - AutoRun File - [2007.06.12 03:27:33 | 000,000,140 | R--- | M] () - E:\autorun.inf -- [ UDF ]

O33 - MountPoints2\##10.0.0.20#BURNINTEST\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

O33 - MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Setup\rsrc\AUTORUN.EXE -- [2007.03.23 00:57:09 | 000,051,336 | R--- | M] ()

O33 - MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\Shell\dinstall\command - "" = E:\DirectX\DXSETUP.exe -- [2007.06.01 04:23:56 | 000,503,144 | R--- | M] (Microsoft Corporation)

O33 - MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\Shell - "" = AutoRun

O33 - MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a

O33 - MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\Shell\eXPloRe\cOmmAnD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\Shell\Open\CoMManD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\Shell\eXPloRe\cOmmAnD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\Shell\Open\CoMManD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\Shell - "" = AutoRun

O33 - MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a

O33 - MountPoints2\{a573514a-b7ec-11de-bd2b-00238b89132e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PARTY.vbs

O33 - MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\Shell - "" = AutoRun

O33 - MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a

[2011.03.24 15:07:48 | 000,011,165 | ---- | M] () -- C:\Users\user\AppData\Roaming\9494.8A8

[2011.03.23 23:59:50 | 000,173,568 | ---- | M] () -- C:\Users\user\AppData\Roaming\dwm.exe

[2011.03.23 23:59:50 | 000,173,568 | ---- | C] () -- C:\Users\user\AppData\Roaming\dwm.exe

[2011.03.23 23:59:32 | 000,011,165 | ---- | C] () -- C:\Users\user\AppData\Roaming\9494.8A8

@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:55F44B88

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Habe ich gemacht, allerdings hats nicht ganz so geklappt, wie du das gesagt hattest, also ich hab das eingefügt, auf Fix geklickt.
Dann hat OTL anscheinend alles beendet, auch explorer, weil dann ausser meinem Hintergrundbild nur noch OTL da war. Dann lief das und irgendwann kam dann Windows-Meldung, dass OTL nicht mehr funktioniert und beendet wurde.
Ich habe dann über Taskmanager den explorer neu gestartet.
Als ich OTL wieder öffnen wollte, habe ich diesen Log bekommen:

______________________________________________________________

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.
File move failed. E:\Setup\rsrc\AUTORUN.EXE scheduled to be moved on reboot.
File move failed. E:\DirectX\DXSETUP.exe scheduled to be moved on reboot.
File move failed. C:\Users\user\AppData\Local\Temp\ehmsas.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

(es gab keinen Neustart)

war das jetzt so richtig?

Mach den Fix bitte nochmal.

Sooo, diesmal hat das ganze besser geklappt! :)

Hier der Log:

___________________________________________________________________
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{40c3cc16-7269-4b32-9531-17f2950fb06f} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40c3cc16-7269-4b32-9531-17f2950fb06f}\ not found.
File C:\Program Files\Winload\tbWinl.dll not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##10.0.0.20#BURNINTEST\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
File move failed. E:\Setup\rsrc\AUTORUN.EXE scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
File move failed. E:\DirectX\DXSETUP.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
File H:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
File I:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a573514a-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a573514a-b7ec-11de-bd2b-00238b89132e}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PARTY.vbs not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
File H:\LaunchU3.exe -a not found.
File C:\Users\user\AppData\Roaming\9494.8A8 not found.
File C:\Users\user\AppData\Roaming\dwm.exe not found.
File C:\Users\user\AppData\Roaming\dwm.exe not found.
File C:\Users\user\AppData\Roaming\9494.8A8 not found.
Unable to delete ADS C:\ProgramData\Temp:55F44B88 .
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: spook
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: user
->Temp folder emptied: 182845 bytes
->Temporary Internet Files folder emptied: 33293 bytes
->Java cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 265910130 bytes
->Flash cache emptied: 159597 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 167084425 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 413,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 03242011_225129

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.
File move failed. E:\Setup\rsrc\AUTORUN.EXE scheduled to be moved on reboot.
File move failed. E:\DirectX\DXSETUP.exe scheduled to be moved on reboot.
C:\Users\user\AppData\Local\Temp\ehmsas.txt moved successfully.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, das ganze scheint jetzt funktioniert zu haben, allerdings habe ich zwischendurch echt Angstzustände gehabt, weil ich nach dem Neustart nichts machen konnte, ich hatte nur die Logdatei und den Desktop, Opera öffnen ging nicht, da kam eine Meldung, dass an irgendeinem Registrierungsschlüssel was verändert wurde und das deswegen nicht ging... Nachdem sich mein explorer dann aber aufgehangen hatte und neu gestartet wurde (also nur der explorer), ging plötzlich wieder alles... Allerdings ist Opera jetzt sehr langsam und zeigt immer mal wieder "Keine Rückmeldung" an, was sich aber nach ein paar Sekunden wieder erledigt hat.

So, hier dann noch der Log:

____________________________________________________________________Combofix Logfile:

Code:

ComboFix 11-03-24.01 - user 24.03.2011  23:30:57.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3068.1898 [GMT 1:00]

ausgeführt von:: c:\users\user\Desktop\coFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\at.exe

c:\program files\facemoods.com

c:\program files\facemoods.com\facemoods\1.4.17.6\bh\facemoods.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoods.crx

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoods.png

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsApp.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsEng.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodssrv.exe

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsTlbr.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\uninstall.exe

c:\windows\pi.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_usnjsvc

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-02-24 bis 2011-03-24  ))))))))))))))))))))))))))))))

.

.

2011-03-24 22:37 . 2011-03-24 22:37        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-03-24 22:21 . 2011-03-24 22:21        --------        d-----w-        c:\program files\CCleaner

2011-03-24 21:26 . 2011-03-24 21:26        --------        d-----w-        C:\_OTL

2011-03-24 18:42 . 2011-03-24 18:42        --------        d-----w-        c:\program files\WildTangent Games

2011-03-24 18:22 . 2011-03-24 18:22        --------        d-----w-        c:\users\user\AppData\Roaming\Malwarebytes

2011-03-24 18:22 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-24 18:22 . 2011-03-24 18:22        --------        d-----w-        c:\programdata\Malwarebytes

2011-03-24 18:22 . 2011-03-24 18:22        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-03-24 18:22 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-03-24 16:21 . 2011-03-24 16:21        --------        d-----w-        c:\program files\7-Zip

2011-03-24 14:32 . 2011-03-24 14:32        --------        d-----w-        c:\program files\ERUNT

2011-03-23 11:25 . 2011-02-22 13:33        1068544        ----a-w-        c:\windows\system32\DWrite.dll

2011-03-23 11:25 . 2011-02-22 13:33        797696        ----a-w-        c:\windows\system32\FntCache.dll

2011-03-23 11:25 . 2011-02-22 14:13        288768        ----a-w-        c:\windows\system32\XpsGdiConverter.dll

2011-03-22 22:40 . 2011-03-22 22:40        --------        d-----w-        c:\users\user\AppData\Roaming\TrueCrypt

2011-03-22 22:38 . 2011-03-22 22:42        --------        d-----w-        c:\program files\TrueCrypt

2011-03-22 22:38 . 2011-03-22 22:38        231248        ----a-w-        c:\windows\system32\drivers\truecrypt.sys

2011-03-22 10:54 . 2011-02-11 06:54        5943120        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{6467047A-6ED7-4820-8F33-552B0144EA26}\mpengine.dll

2011-03-15 12:12 . 2011-03-15 12:12        --------        d-----w-        C:\BigFishGamesCache

2011-03-15 00:24 . 2011-03-15 00:24        --------        d-----w-        c:\program files\softendo.com

2011-03-15 00:16 . 2011-03-15 00:16        --------        d-----w-        c:\program files\Die Gilde 2 - Gold Edition

2011-03-13 11:16 . 2011-03-14 13:42        365461        ----a-w-        c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe

2011-03-11 11:25 . 2011-03-19 17:12        --------        d-----w-        c:\programdata\TrackMania

2011-03-11 11:22 . 2011-03-11 11:23        --------        d-----w-        c:\program files\TmNationsForever

2011-03-09 10:59 . 2011-03-24 20:47        --------        d-----w-        c:\users\user\AppData\Local\PokerStars

2011-03-09 10:59 . 2011-03-09 14:33        --------        d-----w-        c:\program files\PokerStars

2011-03-09 10:13 . 2010-12-29 18:28        322560        ----a-w-        c:\windows\system32\sbe.dll

2011-03-09 10:13 . 2010-12-29 18:28        429056        ----a-w-        c:\windows\system32\EncDec.dll

2011-03-09 10:13 . 2010-12-29 18:28        153088        ----a-w-        c:\windows\system32\sbeio.dll

2011-03-09 10:13 . 2010-12-29 18:26        177664        ----a-w-        c:\windows\system32\mpg2splt.ax

2011-03-09 10:13 . 2010-12-17 15:45        2067968        ----a-w-        c:\windows\system32\mstscax.dll

2011-03-09 10:13 . 2010-12-17 13:54        677888        ----a-w-        c:\windows\system32\mstsc.exe

2011-03-08 12:23 . 2011-03-08 12:23        --------        d-----w-        c:\program files\iPod

2011-03-08 12:18 . 2011-03-08 12:18        --------        d-----w-        c:\program files\Bonjour

2011-03-07 12:40 . 2011-03-07 12:40        --------        d-----w-        c:\users\spook

2011-03-07 12:39 . 2011-03-07 12:39        --------        d-----w-        c:\program files\PostgreSQL

2011-03-07 12:38 . 2011-03-07 12:38        367        ----a-w-        c:\users\user\AppData\Local\postgresinstall.bat

2011-03-07 12:37 . 2011-03-07 12:37        --------        d-----w-        c:\users\user\AppData\Local\PokerStrategy.com

2011-03-07 12:36 . 2011-03-07 12:36        --------        d-----w-        c:\program files\PokerStrategy.com

2011-03-07 12:35 . 2011-03-07 12:35        --------        d-----w-        c:\users\user\AppData\Local\Downloaded Installations

2011-03-01 15:42 . 2011-03-01 15:42        --------        d-----w-        c:\users\Public\CyberLink

2011-02-25 01:00 . 2009-10-09 21:56        2048        ----a-w-        c:\windows\system32\winrsmgr.dll

2011-02-25 01:00 . 2009-10-09 21:56        12800        ----a-w-        c:\windows\system32\wsmprovhost.exe

2011-02-25 01:00 . 2009-10-09 21:56        20480        ----a-w-        c:\windows\system32\winrshost.exe

2011-02-25 01:00 . 2009-10-09 21:56        40448        ----a-w-        c:\windows\system32\winrs.exe

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 10:46 . 2009-09-23 19:21        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-02-18 15:36 . 2011-02-18 15:36        41984        ----a-w-        c:\windows\system32\drivers\usbaapl.sys

2011-02-18 15:36 . 2011-02-18 15:36        4184352        ----a-w-        c:\windows\system32\usbaaplrc.dll

2011-02-02 16:11 . 2009-10-03 19:07        222080        ------w-        c:\windows\system32\MpSigStub.exe

2011-01-20 16:37 . 2011-02-09 12:30        638336        ----a-w-        c:\windows\system32\drivers\dxgkrnl.sys

2011-01-20 16:08 . 2011-02-09 12:30        478720        ----a-w-        c:\windows\system32\dxgi.dll

2011-01-20 16:08 . 2011-02-09 12:30        219648        ----a-w-        c:\windows\system32\d3d10_1core.dll

2011-01-20 16:08 . 2011-02-09 12:30        160768        ----a-w-        c:\windows\system32\d3d10_1.dll

2011-01-20 16:08 . 2011-02-09 12:30        1029120        ----a-w-        c:\windows\system32\d3d10.dll

2011-01-20 16:08 . 2011-02-09 12:30        189952        ----a-w-        c:\windows\system32\d3d10core.dll

2011-01-20 16:07 . 2011-02-09 12:29        37376        ----a-w-        c:\windows\system32\cdd.dll

2011-01-20 16:07 . 2011-02-09 12:29        258048        ----a-w-        c:\windows\system32\winspool.drv

2011-01-20 16:07 . 2011-02-09 12:30        586240        ----a-w-        c:\windows\system32\stobject.dll

2011-01-20 16:06 . 2011-02-09 12:30        2873344        ----a-w-        c:\windows\system32\mf.dll

2011-01-20 16:06 . 2011-02-09 12:29        26112        ----a-w-        c:\windows\system32\printfilterpipelineprxy.dll

2011-01-20 16:04 . 2011-02-09 12:30        209920        ----a-w-        c:\windows\system32\mfplat.dll

2011-01-20 16:04 . 2011-02-09 12:29        98816        ----a-w-        c:\windows\system32\mfps.dll

2011-01-20 14:28 . 2011-02-09 12:30        1554432        ----a-w-        c:\windows\system32\xpsservices.dll

2011-01-20 14:27 . 2011-02-09 12:30        876032        ----a-w-        c:\windows\system32\XpsPrint.dll

2011-01-20 14:26 . 2011-02-09 12:30        667648        ----a-w-        c:\windows\system32\printfilterpipelinesvc.exe

2011-01-20 14:25 . 2011-02-09 12:30        847360        ----a-w-        c:\windows\system32\OpcServices.dll

2011-01-20 14:24 . 2011-02-09 12:30        135680        ----a-w-        c:\windows\system32\XpsRasterService.dll

2011-01-20 14:15 . 2011-02-09 12:30        979456        ----a-w-        c:\windows\system32\MFH264Dec.dll

2011-01-20 14:14 . 2011-02-09 12:30        357376        ----a-w-        c:\windows\system32\MFHEAACdec.dll

2011-01-20 14:14 . 2011-02-09 12:30        302592        ----a-w-        c:\windows\system32\mfmp4src.dll

2011-01-20 14:14 . 2011-02-09 12:30        261632        ----a-w-        c:\windows\system32\mfreadwrite.dll

2011-01-20 14:12 . 2011-02-09 12:30        1172480        ----a-w-        c:\windows\system32\d3d10warp.dll

2011-01-20 14:11 . 2011-02-09 12:30        486400        ----a-w-        c:\windows\system32\d3d10level9.dll

2011-01-20 13:47 . 2011-02-09 12:30        683008        ----a-w-        c:\windows\system32\d2d1.dll

2011-01-08 08:47 . 2011-02-09 12:29        34304        ----a-w-        c:\windows\system32\atmlib.dll

2011-01-08 06:28 . 2011-02-09 12:29        292352        ----a-w-        c:\windows\system32\atmfd.dll

2010-12-31 13:57 . 2011-02-09 12:30        2039808        ----a-w-        c:\windows\system32\win32k.sys

2010-12-28 15:55 . 2011-01-13 18:02        413696        ----a-w-        c:\windows\system32\odbc32.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]

"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]

"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]

"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]

"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]

"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]

"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]

"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]

"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-02-09 206120]

"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-03-01 421160]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

.

c:\users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Anleitung.exe [2011-3-14 365461]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 GamesAppService;GamesAppService;c:\program files\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 gupdate1ca20332da5b92b;Google Update Service (gupdate1ca20332da5b92b);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-18 133104]

R4 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2009-02-09 296320]

R4 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2009-02-09 116096]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-08-09 721904]

S2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/07/16 07:38];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-11-28 16:04 87536]

S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\aestsrv.exe [2008-06-27 77824]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-07 135336]

S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]

S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]

S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-02-01 65536]

S2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-12-17 365952]

S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-19 222512]

S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]

S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-10-23 107360]

S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

WindowsMobile        REG_MULTI_SZ           wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ           WcesComm RapiMgr

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

ezSharedSvc

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-06-09 08:14        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-03-24 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-18 18:37]

.

2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-18 18:38]

.

2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-18 18:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.icq.com/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb

IE: Free YouTube to MP3 Converter - c:\users\user\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)

BHO-{64182481-4F71-486b-A045-B233BD0DA8FC} - c:\program files\facemoods.com\facemoods\1.4.17.6\bh\facemoods.dll

Toolbar-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)

Toolbar-{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsTlbr.dll

WebBrowser-{40C3CC16-7269-4B32-9531-17F2950FB06F} - (no file)

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe

HKCU-Run-Vidalia - c:\program files\Vidalia Bundle\Vidalia\vidalia.exe

HKLM-Run-SmartMenu - %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe

HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe

HKLM-Run-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodssrv.exe

AddRemove-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.6\uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-03-24 23:40

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]

"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-3086983586-1529418070-1050850571-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

@Allowed: (Read) (RestrictedCode)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\STacSV.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\CyberLink\Shared files\RichVideo.exe

c:\windows\system32\WUDFHost.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\windows\system32\conime.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

c:\program files\Epson Software\Event Manager\EEventManager.exe

c:\program files\IDT\WDM\sttray.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe

c:\windows\ehome\ehmsas.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe

c:\program files\Hewlett-Packard\Shared\hpqToaster.exe

c:\windows\system32\WerFault.exe

c:\program files\Windows Media Player\wmplayer.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-03-24  23:46:28 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-03-24 22:46

.

Vor Suchlauf: 16 Verzeichnis(se), 34.258.456.576 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 33.777.295.360 Bytes frei

.

- - End Of File - - 4675CFFD4C69BEBC9DB5C38F47AD74CA

--- --- ---

Jetzt habe ich den Laptop noch einmal neu gestartet, jetzt scheint wieder alles flüssig zu laufen, habe mal viele sachen gleichzeitig geöffnet und ausgeführt, aber er hat jetzt keinerlei Probleme mehr...

Ist der Rechner denn jetzt clean? Kannst du das an dem Log oben sehen? Oder soll ich noch Scans machen?

Und auf jedenfall schon einmal vielen Dank für deine Zeit, denn ohne dich und dieses Forum wäre ich echt aufgeschmissen gewesen... DANKE! :)

Muss ich jetzt noch irgendwas machen? Oder wars das schon? ;)

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

So, habe das Tool jetzt drüberlaufen lassen, was soll ich denn mit dem einen Fund machen, den er hat? Soll ich den entfernen lassen?

Bitte das Log posten!!!

Hier der Log, Neustart ist schon erfolgt!

________________________________________________________________

HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot
C:\Windows\system32\Drivers\sptd.sys - will be deleted after reboot

SPTD hättest du behalten können! Ist harmlos!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

So, gmer ist wie angekündigt beide male abgeschmiert...
Hier dann die anderen beiden angeforderten Logs:

____________________________________________________________________

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6 Notebook PC
Logical Drives Mask: 0x0000005c

Kernel Drivers (total 208):
0x82451000 \SystemRoot\system32\ntkrnlpa.exe
0x8241E000 \SystemRoot\system32\hal.dll
0x8040B000 \SystemRoot\system32\kdcom.dll
0x80412000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x80482000 \SystemRoot\system32\PSHED.dll
0x80493000 \SystemRoot\system32\BOOTVID.dll
0x8049B000 \SystemRoot\system32\CLFS.SYS
0x804DC000 \SystemRoot\system32\CI.dll
0x805BC000 \SystemRoot\system32\drivers\klmdb.sys
0x80601000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8067D000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8068A000 \SystemRoot\System32\Drivers\sptd.sys
0x8078B000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x80794000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x807BA000 \SystemRoot\system32\drivers\acpi.sys
0x805CE000 \SystemRoot\system32\drivers\msisadrv.sys
0x805D6000 \SystemRoot\system32\drivers\pci.sys
0x82A06000 \SystemRoot\system32\drivers\isapnp.sys
0x82A15000 \SystemRoot\system32\drivers\mpio.sys
0x82A31000 \SystemRoot\System32\drivers\partmgr.sys
0x82A40000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x82A43000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x82A4D000 \SystemRoot\system32\drivers\volmgr.sys
0x82A5C000 \SystemRoot\System32\drivers\volmgrx.sys
0x82AA6000 \SystemRoot\system32\drivers\intelide.sys
0x82AAD000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x82ABB000 \SystemRoot\system32\drivers\aliide.sys
0x82AC2000 \SystemRoot\system32\drivers\amdide.sys
0x82AC9000 \SystemRoot\system32\drivers\cmdide.sys
0x82AD1000 \SystemRoot\System32\drivers\mountmgr.sys
0x82AE1000 \SystemRoot\system32\drivers\msdsm.sys
0x82AFB000 \SystemRoot\system32\drivers\nvraid.sys
0x82B16000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x82B37000 \SystemRoot\system32\drivers\pciide.sys
0x82B3E000 \SystemRoot\system32\drivers\viaide.sys
0x82B46000 \SystemRoot\system32\drivers\iastorv.sys
0x82BE7000 \SystemRoot\system32\drivers\atapi.sys
0x83002000 \SystemRoot\system32\drivers\ataport.SYS
0x83020000 \SystemRoot\system32\drivers\lsi_scsi.sys
0x8303A000 \SystemRoot\system32\drivers\storport.sys
0x8307B000 \SystemRoot\system32\drivers\msahci.sys
0x83085000 \SystemRoot\system32\drivers\hpcisss.sys
0x83090000 \SystemRoot\system32\drivers\adp94xx.sys
0x830FA000 \SystemRoot\system32\drivers\adpahci.sys
0x83146000 \SystemRoot\system32\drivers\adpu160m.sys
0x83161000 \SystemRoot\system32\drivers\adpu320.sys
0x83187000 \SystemRoot\system32\drivers\djsvs.sys
0x8319B000 \SystemRoot\system32\drivers\arc.sys
0x831B1000 \SystemRoot\system32\drivers\arcsas.sys
0x83209000 \SystemRoot\system32\drivers\elxstor.sys
0x8329D000 \SystemRoot\system32\drivers\i2omp.sys
0x832A7000 \SystemRoot\system32\drivers\iirsp.sys
0x832B7000 \SystemRoot\system32\drivers\iteatapi.sys
0x832C3000 \SystemRoot\system32\drivers\iteraid.sys
0x832CF000 \SystemRoot\system32\drivers\lsi_fc.sys
0x832E9000 \SystemRoot\system32\drivers\lsi_sas.sys
0x83301000 \SystemRoot\system32\drivers\megasas.sys
0x8330B000 \SystemRoot\system32\drivers\megasr.sys
0x833C2000 \SystemRoot\system32\drivers\mraid35x.sys
0x833CD000 \SystemRoot\system32\drivers\nfrd960.sys
0x833DB000 \SystemRoot\system32\drivers\nvstor.sys
0x8B205000 \SystemRoot\system32\drivers\ql2300.sys
0x8B33D000 \SystemRoot\system32\drivers\ql40xx.sys
0x8B392000 \SystemRoot\system32\drivers\sisraid2.sys
0x8B39F000 \SystemRoot\system32\drivers\sisraid4.sys
0x8B3B4000 \SystemRoot\system32\drivers\symc8xx.sys
0x8B3C0000 \SystemRoot\system32\drivers\sym_hi.sys
0x8B3CB000 \SystemRoot\system32\drivers\sym_u3.sys
0x8B400000 \SystemRoot\system32\drivers\uliahci.sys
0x8B43C000 \SystemRoot\system32\drivers\ulsata.sys
0x8B45D000 \SystemRoot\system32\drivers\ulsata2.sys
0x8B489000 \SystemRoot\system32\drivers\vsmraid.sys
0x8B4AA000 \SystemRoot\system32\drivers\fltmgr.sys
0x8B4DC000 \SystemRoot\system32\drivers\fileinfo.sys
0x8B4EC000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8B60E000 \SystemRoot\system32\drivers\ndis.sys
0x8B719000 \SystemRoot\system32\drivers\msrpc.sys
0x8B744000 \SystemRoot\system32\drivers\NETIO.SYS
0x8B803000 \SystemRoot\System32\drivers\tcpip.sys
0x8B8ED000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8BA0B000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8BB1B000 \SystemRoot\system32\drivers\wd.sys
0x8BB23000 \SystemRoot\system32\drivers\volsnap.sys
0x8BB5C000 \SystemRoot\System32\Drivers\spldr.sys
0x8BB64000 \SystemRoot\system32\drivers\sbp2port.sys
0x8BB79000 \SystemRoot\System32\Drivers\mup.sys
0x8BB88000 \SystemRoot\System32\drivers\ecache.sys
0x8BBAF000 \SystemRoot\system32\DRIVERS\hpdskflt.sys
0x8BBB8000 \SystemRoot\system32\drivers\disk.sys
0x8BBC9000 \SystemRoot\system32\drivers\crcdisk.sys
0x8BBF4000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8BA00000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8B908000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8B917000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8F601000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x8B91B000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8FBE6000 \SystemRoot\System32\drivers\watchdog.sys
0x8B55D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8FBF2000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8B9BB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8B77F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8FC02000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
0x8FF8B000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
0x8FFAD000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8FFBD000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8FFCB000 \SystemRoot\system32\DRIVERS\jmcr.sys
0x8FFE8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8FFFB000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0x8B78E000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8B799000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8FC00000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8B7C9000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8B7D4000 \SystemRoot\system32\DRIVERS\enecir.sys
0x8B3D6000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8B9F9000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x8B7EC000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8B7F5000 \SystemRoot\system32\DRIVERS\Accelerometer.sys
0x831C7000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8B600000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x833E8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8B5EA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x90202000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x90225000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x90234000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x90248000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x9025D000 \SystemRoot\system32\DRIVERS\termdd.sys
0x9026D000 \SystemRoot\system32\DRIVERS\swenum.sys
0x9026F000 \SystemRoot\system32\DRIVERS\ks.sys
0x90299000 \SystemRoot\system32\DRIVERS\circlass.sys
0x902A7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x902B1000 \SystemRoot\system32\DRIVERS\umbus.sys
0x902BE000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x902F3000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x90304000 \SystemRoot\system32\drivers\HdAudio.sys
0x90343000 \SystemRoot\system32\drivers\portcls.sys
0x90370000 \SystemRoot\system32\drivers\drmk.sys
0x90395000 \SystemRoot\system32\DRIVERS\stwrt.sys
0x8B5F5000 \SystemRoot\system32\DRIVERS\hidir.sys
0x8B3EE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x903F9000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x83200000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x831F6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x82BEF000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x82BF8000 \SystemRoot\System32\Drivers\Null.SYS
0x80400000 \SystemRoot\System32\Drivers\Beep.SYS
0x9040C000 \SystemRoot\System32\drivers\vga.sys
0x90418000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x90439000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x90441000 \SystemRoot\system32\drivers\rdpencdd.sys
0x90449000 \SystemRoot\System32\Drivers\Msfs.SYS
0x90454000 \SystemRoot\System32\Drivers\Npfs.SYS
0x90462000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x9046B000 \SystemRoot\system32\DRIVERS\tdx.sys
0x90481000 \SystemRoot\system32\DRIVERS\smb.sys
0x90495000 \SystemRoot\system32\drivers\afd.sys
0x904DD000 \SystemRoot\System32\DRIVERS\netbt.sys
0x9050F000 \SystemRoot\system32\DRIVERS\pacer.sys
0x90525000 \SystemRoot\system32\DRIVERS\netbios.sys
0x90533000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x90546000 \SystemRoot\System32\drivers\truecrypt.sys
0x9057D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x90583000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x905BF000 \SystemRoot\system32\drivers\nsiproxy.sys
0x905C9000 \SystemRoot\System32\Drivers\dfsc.sys
0x90601000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x90627000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x90629000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x90632000 \SystemRoot\System32\Drivers\fastfat.SYS
0x9065A000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x90671000 \SystemRoot\System32\Drivers\usbvideo.sys
0x90692000 \SystemRoot\system32\DRIVERS\udfs.sys
0x906CD000 \SystemRoot\System32\Drivers\crashdmp.sys
0x906DA000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x906E5000 \SystemRoot\System32\Drivers\dump_msahci.sys
0x982F0000 \SystemRoot\System32\win32k.sys
0x906EF000 \SystemRoot\System32\drivers\Dxapi.sys
0x906F9000 \SystemRoot\system32\DRIVERS\monitor.sys
0x98510000 \SystemRoot\System32\TSDDD.dll
0x98530000 \SystemRoot\System32\cdd.dll
0x90708000 \SystemRoot\system32\drivers\luafv.sys
0x90723000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x90738000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x90748000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x90772000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9077C000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9CA07000 \SystemRoot\system32\drivers\spsys.sys
0x9CAB7000 \SystemRoot\system32\drivers\HTTP.sys
0x9CB24000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9CB41000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9CB5A000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9CB6F000 \SystemRoot\system32\drivers\mrxdav.sys
0x9CB90000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9CBAF000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9CBE8000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9078F000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9E206000 \SystemRoot\System32\DRIVERS\srv.sys
0x9E26C000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x9E295000 \SystemRoot\system32\DRIVERS\hwpsgt.sys
0x9E2B7000 \SystemRoot\system32\DRIVERS\lemsgt.sys
0x9E2BA000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x9E2BF000 \SystemRoot\system32\drivers\peauth.sys
0x9E39D000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9E3A7000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9E3B3000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x9E3C8000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x907B7000 \??\C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl
0x9E3DA000 \??\C:\Users\user\AppData\Local\Temp\axldypog.sys
0x77AB0000 \Windows\System32\ntdll.dll

Processes (total 88):
0 System Idle Process
4 System
512 C:\Windows\System32\smss.exe
584 csrss.exe
648 C:\Windows\System32\wininit.exe
656 csrss.exe
692 C:\Windows\System32\services.exe
708 C:\Windows\System32\lsass.exe
716 C:\Windows\System32\lsm.exe
800 C:\Windows\System32\winlogon.exe
908 C:\Windows\System32\svchost.exe
992 C:\Windows\System32\svchost.exe
1032 C:\Windows\System32\svchost.exe
1084 C:\Windows\System32\Ati2evxx.exe
1100 C:\Windows\System32\svchost.exe
1132 C:\Windows\System32\svchost.exe
1152 C:\Windows\System32\svchost.exe
1196 C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\stacsv.exe
1300 C:\Windows\System32\audiodg.exe
1516 C:\Windows\System32\SLsvc.exe
1536 C:\Windows\System32\svchost.exe
1596 C:\Windows\System32\Ati2evxx.exe
1640 C:\Windows\System32\hpservice.exe
1696 C:\Windows\System32\svchost.exe
1884 C:\Windows\System32\spoolsv.exe
1908 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1920 C:\Windows\System32\svchost.exe
556 C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\AEstSrv.exe
560 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
740 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
896 C:\Windows\System32\svchost.exe
1176 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2188 C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
2204 C:\Windows\System32\svchost.exe
2228 C:\Program Files\SMINST\BLService.exe
2244 postgres.exe
2272 C:\Program Files\CyberLink\Shared files\RichVideo.exe
2308 C:\Windows\System32\svchost.exe
2352 C:\Windows\System32\svchost.exe
2464 C:\Windows\System32\SearchIndexer.exe
2560 WUDFHost.exe
2744 postgres.exe
2796 postgres.exe
2808 postgres.exe
2816 postgres.exe
2824 postgres.exe
3076 C:\Windows\System32\taskeng.exe
3300 C:\Windows\System32\dwm.exe
3312 C:\Windows\System32\taskeng.exe
3396 C:\Program Files\Google\Update\GoogleUpdate.exe
3416 C:\Windows\explorer.exe
3764 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
3772 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3856 C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
3976 C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
3992 C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
4032 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
1412 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
2336 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
2460 C:\Program Files\Winamp\winampa.exe
2480 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
988 C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
2108 C:\Program Files\Epson Software\Event Manager\EEventManager.exe
2112 C:\Windows\WindowsMobile\wmdSync.exe
936 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
3032 C:\Windows\System32\svchost.exe
3116 C:\Program Files\iTunes\iTunesHelper.exe
1268 C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
3480 C:\Windows\ehome\ehtray.exe
3640 C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
3244 C:\Program Files\Windows Media Player\wmpnscfg.exe
3060 WmiPrvSE.exe
1396 C:\Windows\ehome\ehmsas.exe
2216 C:\Program Files\Windows Media Player\wmpnetwk.exe
4016 C:\Windows\System32\mobsync.exe
3464 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
4572 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
4972 C:\Program Files\iPod\bin\iPodService.exe
5144 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
5356 C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
5724 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
6084 C:\Windows\System32\svchost.exe
6140 C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
5256 C:\Program Files\Opera\opera.exe
5848 <unknown>
3460 <unknown>
4872 C:\Users\user\Desktop\MBRCheck.exe
2148 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000047`dd500000 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHZ2320BHG2, Rev: 8909

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: E6CCDBFD8F5B3DAA80CE1AA64C67955A606A347D

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

___________________________________________________________________________

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 15:34:29 on 25.03.2011
 

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit

Default Browser: Opera Software Opera Internet Browser 11.01
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"Google Software Updater.job" - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"hpaccelerometercp.CPL" - "Hewlett-Packard Corporation" - C:\Windows\system32\hpaccelerometercp.CPL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"ProtectSmart Hard Drive Protection" - "Hewlett-Packard Corporation" - C:\Windows\system32\hpaccelerometercp.CPL

"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)

"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys

"axldypog" (axldypog) - ? - C:\Users\user\AppData\Local\Temp\axldypog.sys  (Hidden registry entry, rootkit activity | File not found)

"catchme" (catchme) - ? - C:\coFix\catchme.sys  (File not found)

"hwpsgt" (hwpsgt) - ? - C:\Windows\System32\DRIVERS\hwpsgt.sys  (File found, but it contains no detailed information)

"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)

"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)

"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)

"lemsgt" (lemsgt) - ? - C:\Windows\System32\DRIVERS\lemsgt.sys  (File found, but it contains no detailed information)

"lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)

"Power Control [2009/07/16 07:38:20]" ({55662437-DA8C-40c0-AADA-2C816A897A49}) - ? - C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

"StarOpen" (StarOpen) - ? - C:\Windows\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)

"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\Windows\System32\drivers\truecrypt.sys
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----

{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll

{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)

{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)

{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)

{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll

{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8} "JetFlExt Class" - "COWON America" - C:\Program Files\JetAudio\JetFlExt.dll

{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -   (File not found | COM-object registry key not found)

{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONFILTER.DLL

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)

{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll

{7F67036B-66F1-411A-AD85-759FB9C5B0DB} "ShellViewRTF" - "XSS" - C:\Program Files\Sminst\ShellvRTF.dll

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "{32099AAC-C132-4136-9E9A-4E364A424E17}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

{233C1507-6A77-46A4-9443-F871F945D258} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\Windows\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} "Zylom Games Player" - "Zylom Games" - C:\Windows\Downloaded Program Files\zylomgamesplayer.dll / hxxp://game.zylom.com/activex/zylomgamesplayer.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

"ICQ7.4" - "ICQ, LLC." - C:\Program Files\ICQ7.4\ICQ.exe

"PartyPoker.com" - ? - C:\Programs\PartyGaming\PartyPoker\RunApp.exe  (File not found)

"PokerStars" - "PokerStars" - C:\Program Files\PokerStars\PokerStarsUpdate.exe

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll

{7E853D72-626A-48EC-A868-BA8D5E23E045} "{7E853D72-626A-48EC-A868-BA8D5E23E045}" - ? -   (File not found | COM-object registry key not found)
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE  (Shortcut exists | File exists)

"desktop.ini" - ? - C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"Anleitung.exe" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"DAEMON Tools Lite" - "DT Soft Ltd" - "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

"LightScribe Control Panel" - "Hewlett-Packard Company" - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----

"StartupPrograms" - ? - rdpclip  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"AppleSyncNotifier" - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe

"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

"CLMLServer for HP TouchSmart" - "CyberLink" - "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"

"DVDAgent" - "CyberLink Corp." - "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"

"EEventManager" - "SEIKO EPSON CORPORATION" - C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe

"HP Health Check Scheduler" - "Hewlett-Packard" - c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

"HP Software Update" - "Hewlett-Packard" - C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"

"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

"QlbCtrl.exe" - " Hewlett-Packard Development Company, L.P." - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"TSMAgent" - "CyberLink Corp." - "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"

"TVAgent" - "CyberLink Corp." - "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"

"UCam_Menu" - "CyberLink Corp." - "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"

"UpdateLBPShortCut" - "CyberLink Corp." - "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"

"UpdateP2GoShortCut" - "CyberLink Corp." - "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"

"UpdatePDIRShortCut" - "CyberLink Corp." - "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"

"UpdatePSTShortCut" - "CyberLink Corp." - "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"

"WinampAgent" - ? - "C:\Program Files\Winamp\winampa.exe"  (File found, but it contains no detailed information)

"WirelessAssistant" - "Hewlett-Packard" - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe

"Com4QLBEx" (Com4QLBEx) - "Hewlett-Packard Development Company, L.P." - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared files\RichVideo.exe

"Easybits Shared Services for Windows" (ezSharedSvc) - "EasyBits Sofware AS" - C:\Windows\System32\ezsvc7.dll

"GamesAppService" (GamesAppService) - "WildTangent, Inc." - C:\Program Files\WildTangent Games\App\GamesAppService.exe

"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

"HP Health Check Service" (HP Health Check Service) - "Hewlett-Packard" - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

"PostgreSQL Database Server 8.3" (pgsql-8.3) - "PostgreSQL Global Development Group" - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe

"Recovery Service for Windows" (Recovery Service for Windows) - ? - C:\Program Files\SMINST\BLService.exe
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Soo, jetzt sind auch endlich diese beiden Scans erledigt, hier die Logs:

____________________________________________________________________
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/27/2011 at 02:17 PM

Application Version : 4.50.1002

Core Rules Database Version : 6683
Trace Rules Database Version: 4495

Scan type : Complete Scan
Total Scan Time : 02:42:12

Memory items scanned : 856
Memory threats detected : 0
Registry items scanned : 8982
Registry threats detected : 5
File items scanned : 283452
File threats detected : 9

Registry Cleaner Trial
HKCR\Install.Install
HKCR\Install.Install\CLSID
HKCR\Install.Install\CurVer
HKCR\Install.Install.1
HKCR\Install.Install.1\CLSID

Trojan.Agent/Gen-FakeAV
C:\PROGRAM FILES\WINRAR\DEFAULT.SFX

Adware.Tracking Cookie
C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@doubleclick[1].txt
earlyexperience.partyaccount.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyCasino\cookies.txt ]
.partyaccount.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
earlyexperience.partyaccount.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
secure.partyaccount.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
secure.partyaccount.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
ad.yieldmanager.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
secure.partyaccount.com [ C:\Users\user\AppData\Roaming\Mozilla-Cache\Party\PartyPoker\cookies.txt ]

___________________________________________________________________________

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6170

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

25.03.2011 21:50:58
mbam-log-2011-03-25 (21-50-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 445631
Laufzeit: 1 Stunde(n), 23 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nur ein Fehlalarm und Cookies. harmlos.
Rechner soweit wieder ok?

Hey!
Ganz herzlichen Dank für deine Hilfe, der Rechner ist jetzt wieder absolut in Ordnung! ;) :singsing:

:dankeschoen:

Er läuft praktisch besser als vorher ;)

Vielen herzlichen Dank, euer Forum hier ist wirklich echt klasse!

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.