Antispyware expert

#61 Hier dann der andere part

#62 >>>
Fixen mit OTL
Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
File not found -- C:\WINDOWS\dpmvwd.exe
File not found -- C:\WINDOWS\System32\001mU8b4.exe
[2009.12.09 18:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At19.job
[2009.12.09 17:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At18.job
[2009.12.09 16:00:00 | 00,000,394 | -H-- | M] () -- C:\WINDOWS\tasks\{75F4AF2C-619F-4F93-8A74-FC80CFCCF8ED}_DANIEL_Daniel!.job
[2009.12.09 16:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At17.job
[2009.12.09 15:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At16.job
[2009.12.09 14:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At15.job
[2009.12.09 13:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At14.job
[2009.12.09 12:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At13.job
[2009.12.09 11:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At12.job
[2009.12.09 10:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At11.job
[2009.12.09 09:00:00 | 00,000,394 | -H-- | M] () -- C:\WINDOWS\tasks\{8D700855-7259-4268-890A-9F47EB21120F}_DANIEL_Daniel!.job
[2009.12.09 09:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At10.job
[2009.12.09 08:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At9.job
[2009.12.09 07:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At8.job
[2009.12.09 06:51:37 | 00,000,268 | -H-- | M] () -- C:\sqmdata07.sqm
[2009.12.09 06:51:37 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt06.sqm
[2009.12.09 00:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2009.12.08 23:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At24.job
[2009.12.08 22:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At23.job
[2009.12.08 21:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At22.job
[2009.12.08 20:00:01 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At21.job
[2009.12.08 19:23:58 | 00,000,268 | -H-- | M] () -- C:\sqmdata06.sqm
[2009.12.08 19:23:58 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt05.sqm
[2009.12.08 19:16:29 | 00,000,268 | -H-- | M] () -- C:\sqmdata05.sqm
[2009.12.08 19:16:29 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt04.sqm
[2009.12.08 19:14:01 | 00,000,268 | -H-- | M] () -- C:\sqmdata04.sqm
[2009.12.08 19:14:01 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt03.sqm
[2009.12.08 19:06:58 | 00,000,268 | -H-- | M] () -- C:\sqmdata03.sqm
[2009.12.08 19:06:58 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt02.sqm
[2009.12.08 19:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At20.job
[2009.12.08 13:35:47 | 00,000,268 | -H-- | M] () -- C:\sqmdata02.sqm
[2009.12.08 13:35:47 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt01.sqm
[2009.12.08 05:15:29 | 00,000,268 | -H-- | M] () -- C:\sqmdata01.sqm
[2009.12.08 05:15:29 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
[2009.12.08 05:00:01 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At6.job
[2009.12.08 04:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At5.job
[2009.12.08 03:14:50 | 00,000,268 | -H-- | M] () -- C:\sqmdata00.sqm
[2009.12.08 03:14:50 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt19.sqm
[2009.12.08 03:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
[2009.12.08 02:55:58 | 00,000,268 | -H-- | M] () -- C:\sqmdata19.sqm
[2009.12.08 02:55:58 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt18.sqm
[2009.12.08 02:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
[2009.12.08 01:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2009.12.07 20:23:33 | 00,000,268 | -H-- | M] () -- C:\sqmdata15.sqm
[2009.12.07 20:23:33 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt11.sqm
[2009.12.07 20:11:22 | 00,000,268 | -H-- | M] () -- C:\sqmdata11.sqm
[2009.12.07 20:11:22 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt14.sqm
[2009.12.07 17:39:19 | 00,040,960 | ---- | M] () -- C:\WINDOWS\System32\H8SRTeevttitetb.dll
[2009.12.07 17:39:08 | 00,000,195 | ---- | M] () -- C:\WINDOWS\System32\H8SRTelvllxgxcm.dat
[2009.12.07 17:39:06 | 00,023,040 | ---- | M] () -- C:\WINDOWS\System32\H8SRTsfoeppjpwq.dll
[2009.12.07 17:39:04 | 00,039,936 | ---- | M] () -- C:\WINDOWS\System32\drivers\H8SRTbmnrinvdci.sys
[2009.12.07 09:51:51 | 00,000,268 | -H-- | M] () -- C:\sqmdata14.sqm
[2009.12.08 00:10:04 | 00,000,268 | -H-- | M] () -- C:\sqmdata18.sqm
[2009.12.08 00:10:04 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt17.sqm
[2009.12.07 23:47:03 | 00,000,268 | -H-- | M] () -- C:\sqmdata17.sqm
[2009.12.07 23:47:02 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt16.sqm
[2009.12.07 21:19:25 | 00,000,268 | -H-- | M] () -- C:\sqmdata16.sqm
[2009.12.07 21:19:25 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt15.sqm
[2009.12.07 09:51:51 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt13.sqm
[2009.12.07 20:11:30 | 00,000,680 | ---- | C] () -- C:\WINDOWS\System32\h8srtcfg.dat
[2009.12.07 17:39:18 | 00,040,960 | ---- | C] () -- C:\WINDOWS\System32\H8SRTeevttitetb.dll
[2009.12.07 17:39:08 | 00,000,195 | ---- | C] () -- C:\WINDOWS\System32\H8SRTelvllxgxcm.dat
[2009.12.07 17:39:06 | 00,023,040 | ---- | C] () -- C:\WINDOWS\System32\H8SRTsfoeppjpwq.dll
[2009.12.07 17:39:04 | 00,039,936 | ---- | C] () -- C:\WINDOWS\System32\drivers\H8SRTbmnrinvdci.sys
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

>>
Versuche ob Du Combofix anwenden kannst:
http://board.protecus.de/t23187.htm#301850

>>
Zudem scanne noch einmal mit GMER und poste das Log

#63

Code

All processes killed
Error: Unable to interpret <:OTLFile not found -- C:\WINDOWS\dpmvwd.exeFile not found -- C:\WINDOWS\System32\001mU8b4.exe[2009.12.09 18:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At19.job[2009.12.09 17:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At18.job[2009.12.09 16:00:00 | 00,000,394 | -H-- | M] () -- C:\WINDOWS\tasks\{75F4AF2C-619F-4F93-8A74-FC80CFCCF8ED}_DANIEL_Daniel!.job[2009.12.09 16:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At17.job[2009.12.09 15:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At16.job[2009.12.09 14:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At15.job[2009.12.09 13:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At14.job[2009.12.09 12:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At13.job[2009.12.09 11:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At12.job[2009.12.09 10:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At11.job[2009.12.09 09:00:00 | 00,000,394 | -H-- | M] () -- C:\WINDOWS\tasks\{8D700855-7259-4268-890A-9F47EB21120F}_DANI> in the current context!
Error: Unable to interpret <EL_Daniel!.job[2009.12.09 09:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At10.job[2009.12.09 08:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At9.job[2009.12.09 07:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At8.job[2009.12.09 06:51:37 | 00,000,268 | -H-- | M] () -- C:\sqmdata07.sqm[2009.12.09 06:51:37 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt06.sqm[2009.12.09 00:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At1.job[2009.12.08 23:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At24.job[2009.12.08 22:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At23.job[2009.12.08 21:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At22.job[2009.12.08 20:00:01 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At21.job[2009.12.08 19:23:58 | 00,000,268 | -H-- | M] () -- C:\sqmdata06.sqm[2009.12.08 19:23:58 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt05.sqm[2009.12.08 19:16:29 | 00,000,268 | -H-- | M] () -- C:\sqmdata05.sqm[2009.12.08 19:16:29 | 00,000,244 | -H-- | M] () -- C:\> in the current context!
Error: Unable to interpret <sqmnoopt04.sqm[2009.12.08 19:14:01 | 00,000,268 | -H-- | M] () -- C:\sqmdata04.sqm[2009.12.08 19:14:01 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt03.sqm[2009.12.08 19:06:58 | 00,000,268 | -H-- | M] () -- C:\sqmdata03.sqm[2009.12.08 19:06:58 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt02.sqm[2009.12.08 19:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At20.job[2009.12.08 13:35:47 | 00,000,268 | -H-- | M] () -- C:\sqmdata02.sqm[2009.12.08 13:35:47 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt01.sqm[2009.12.08 05:15:29 | 00,000,268 | -H-- | M] () -- C:\sqmdata01.sqm[2009.12.08 05:15:29 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm[2009.12.08 05:00:01 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At6.job[2009.12.08 04:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At5.job[2009.12.08 03:14:50 | 00,000,268 | -H-- | M] () -- C:\sqmdata00.sqm[2009.12.08 03:14:50 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt19.sqm[2009.12.08 03:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At4.job[2009.12.08 02:55:58 > in the current context!
Error: Unable to interpret <| 00,000,268 | -H-- | M] () -- C:\sqmdata19.sqm[2009.12.08 02:55:58 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt18.sqm[2009.12.08 02:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At3.job[2009.12.08 01:00:00 | 00,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At2.job[2009.12.07 20:23:33 | 00,000,268 | -H-- | M] () -- C:\sqmdata15.sqm[2009.12.07 20:23:33 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt11.sqm[2009.12.07 20:11:22 | 00,000,268 | -H-- | M] () -- C:\sqmdata11.sqm[2009.12.07 20:11:22 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt14.sqm[2009.12.07 17:39:19 | 00,040,960 | ---- | M] () -- C:\WINDOWS\System32\H8SRTeevttitetb.dll[2009.12.07 17:39:08 | 00,000,195 | ---- | M] () -- C:\WINDOWS\System32\H8SRTelvllxgxcm.dat[2009.12.07 17:39:06 | 00,023,040 | ---- | M] () -- C:\WINDOWS\System32\H8SRTsfoeppjpwq.dll[2009.12.07 17:39:04 | 00,039,936 | ---- | M] () -- C:\WINDOWS\System32\drivers\H8SRTbmnrinvdci.sys[2009.12.07 09:51:51 | 00,000,268 | -H-- | M] () -- C:\sqmdata14.sqm[2009.12.08 00:10:04 | 00,000,268 | -H-- | > in the current context!
Error: Unable to interpret <M] () -- C:\sqmdata18.sqm[2009.12.08 00:10:04 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt17.sqm[2009.12.07 23:47:03 | 00,000,268 | -H-- | M] () -- C:\sqmdata17.sqm[2009.12.07 23:47:02 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt16.sqm[2009.12.07 21:19:25 | 00,000,268 | -H-- | M] () -- C:\sqmdata16.sqm[2009.12.07 21:19:25 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt15.sqm[2009.12.07 09:51:51 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt13.sqm[2009.12.07 20:11:30 | 00,000,680 | ---- | C] () -- C:\WINDOWS\System32\h8srtcfg.dat[2009.12.07 17:39:18 | 00,040,960 | ---- | C] () -- C:\WINDOWS\System32\H8SRTeevttitetb.dll[2009.12.07 17:39:08 | 00,000,195 | ---- | C] () -- C:\WINDOWS\System32\H8SRTelvllxgxcm.dat[2009.12.07 17:39:06 | 00,023,040 | ---- | C] () -- C:\WINDOWS\System32\H8SRTsfoeppjpwq.dll[2009.12.07 17:39:04 | 00,039,936 | ---- | C] () -- C:\WINDOWS\System32\drivers\H8SRTbmnrinvdci.sys:Commands[purity][emptytemp]> in the current context!
 
OTL by OldTimer - Version 3.1.12.0 log created on 12102009_135005

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

#64 Irgend was hat nicht funktioniert. Hast DU es genau nach ANleitung gemacht???

#65 Kann es sein das es daran lag, das mein avira wieder funktioniert und ich damit schon die ein oder andere dateei geloescht habe, die er mir vorgeschlagen hat?

#66 Du solltest nur die Schritte ausführen welche ich Dir sage Ansonsten denke ich an Geister....
Seit wann funktioniert dann Avira wieder??

>>>
Öffne Avira und gehe zu den BErichten. Poste dann die Berichte als du gelöscht hast.

>>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.

Zitat

ATTRIB -r -s -h c:\windows\tasks\at*.job
DEL /Q c:\windows\tasks\at*.job

Du solltest jetzt auf dem Desktop diese Datei finden.
Doppelklicke fix.bat.

>>>
Versuche ob Du Combofix anwenden kannst:
http://board.protecus.de/t23187.htm#301850

>>>
Wende erneut GMER an und poste das Log.

#67 Mein Avira funktioniert wieder seit gestern.

Unter Berichten finde ich leider nur den bericht ueber das letztze update

#68 Dann mach das andere was ich geposet habe

#69 So fix.bat wurde erledigt
Combofix habe ich auch gerade laufen gelassen!
hier der blog
PS: Gmer folgt.. ist noch am scannen!

Code

ComboFix 09-12-09.04 - Daniel! 10.12.2009  19:28:03.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.384.127 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel!\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\AntiMalware\AntiMalware Support.lnk
c:\dokumente und einstellungen\All Users\Startmenü\Programme\AntiMalware\AntiMalware.lnk
c:\dokumente und einstellungen\All Users\Startmenü\Programme\AntiMalware\Uninstall AntiMalware.lnk
c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\NetMon\domains.txt
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\NetMon\log.txt
c:\programme\AntiMalware\help.ico
c:\programme\AntiMalware\malw.db
c:\temp\1cb\syscheck.log
c:\windows\Downloaded Program Files\UGA6PU_0001_N120M2910NetInstaller.exe
c:\windows\system32\~.exe
c:\windows\system32\drivers\H8SRTbmnrinvdci.sys
c:\windows\system32\h8srtcfg.dat
c:\windows\system32\H8SRTelvllxgxcm.dat
c:\windows\system32\H8SRTsfoeppjpwq.dll
c:\windows\system32\jikkj.ini2
c:\windows\system32\srcr.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SVCPROC


(((((((((((((((((((((((   Dateien erstellt von 2009-11-10 bis 2009-12-10  ))))))))))))))))))))))))))))))
.

2009-12-10 16:41 . 2009-12-10 16:41    --------    d-----w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\Malwarebytes
2009-12-10 12:50 . 2009-12-10 12:50    --------    d-----w-    C:\_OTL
2009-12-08 03:12 . 2009-12-08 03:12    --------    d-----w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-08 03:12 . 2009-12-08 03:12    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-08 02:28 . 2009-12-08 02:28    --------    d-----w-    c:\programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2009-12-08 02:22 . 2009-12-03 15:14    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-08 02:22 . 2009-12-08 02:22    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-08 02:22 . 2009-12-03 15:13    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-12-08 00:59 . 2009-12-08 00:59    --------    d-----w-    C:\_OTM
2009-12-07 23:21 . 2009-12-07 23:21    --------    d-----w-    c:\programme\Trend Micro
2009-12-07 23:06 . 2009-12-07 23:06    --------    d-----r-    c:\dokumente und einstellungen\Administrator.DANIEL.002\Eigene Dateien
2009-12-07 22:54 . 2009-12-08 02:22    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2009-12-07 20:15 . 2009-11-25 10:19    56816    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2009-12-07 20:15 . 2009-03-30 08:33    96104    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2009-12-07 20:15 . 2009-02-13 10:29    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2009-12-07 20:15 . 2009-02-13 10:17    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2009-12-07 20:15 . 2009-12-07 20:15    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-07 20:15 . 2009-12-07 20:15    --------    d-----w-    c:\programme\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-10 16:33 . 2008-05-06 16:55    --------    d-----w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\Skype
2009-12-10 07:37 . 2008-05-06 16:57    --------    d-----w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\skypePM
2009-12-06 23:11 . 2007-11-01 14:35    --------    d-----w-    c:\programme\PartyGaming
2009-12-05 10:16 . 2008-07-22 18:12    --------    d-----w-    c:\programme\Microsoft Silverlight
2009-10-25 23:19 . 2009-10-25 23:14    --------    d-----w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\Vso
2009-10-25 23:19 . 2009-10-25 23:15    47360    ----a-w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\pcouffin.sys
2009-10-25 23:19 . 2009-10-25 23:15    47360    ----a-w-    c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\pcouffin.sys
2009-10-25 23:15 . 2009-10-25 23:15    47360    ----a-w-    c:\windows\system32\drivers\pcouffin.sys
2009-10-25 11:24 . 2002-08-29 12:00    81126    ----a-w-    c:\windows\system32\perfc007.dat
2009-10-25 11:24 . 2002-08-29 12:00    452300    ----a-w-    c:\windows\system32\perfh007.dat
2007-10-03 11:31 . 2007-10-02 19:41    5    ----a-w-    c:\programme\announce.txt
2007-10-03 03:01 . 2007-10-03 03:01    133680    ----a-w-    c:\programme\PartyGaming.RPT
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VoipBuster"="c:\programme\VoipBuster.com\VoipBuster\VoipBuster.exe -nosplash -minimized" [X]
"AIM"="c:\programme\AIM95\aim.exe -cnetwait.odl" [BU]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"LDM"="\Program\BackWeb-8876480.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe  -osboot" [X]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe -atboottime" [X]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-09-16 274432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-12-23 169472]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\kem.exe [2004-12-23 454656]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTServ]
2003-10-09 00:02    1064960    ----a-w-    c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
c:\programme\QuickTime\qttask.exe -atboottime [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipBuster]
c:\programme\VoipBuster.com\VoipBuster\VoipBuster.exe -nosplash -minimized [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ap9h4qmo]
c:\windows\system32\ap9h4qmo.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
c:\programme\BearShare\BearShare.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
c:\programme\SlySoft\CloneCD\CloneCDTray.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gcasServ]
c:\programme\Microsoft AntiSpyware\gcasServ.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2004-09-13 09:51    1450096    ----a-w-    c:\programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
2003-09-19 12:17    25088    ----a-w-    c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
c:\programme\Messenger\msmsgs.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50    155648    ----a-w-    c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
c:\programme\Spybot - Search & Destroy\TeaTimer.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2003-12-13 00:50    33792    ----a-w-    c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AIM95\\aim.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"%windir%\\explorer.exe"=
"c:\\Dokumente und Einstellungen\\Daniel!\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.12.2009 21:15 108289]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [10.01.2007 19:16 24652]
S1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\Daniel!\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\Daniel!\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\Daniel!\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys --> c:\dokume~1\Daniel!\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys [?]
S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]
S3 ids0004C;ids0004C;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys [?]
S3 ids0005c;ids0005c;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys [?]
S3 ids00089;ids00089;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00089.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00089.sys [?]
S3 klstm;klstm;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys [?]
S3 LHidPPKE;Logitech SetPoint HID Function Driver;c:\windows\system32\drivers\LHidPPKE.Sys [23.12.2004 18:07 22536]
S3 SASENUM;SASENUM;\??\c:\dokume~1\Daniel!\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS --> c:\dokume~1\Daniel!\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS [?]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gesichterparty.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Daniel!\Anwendungsdaten\Mozilla\Firefox\Profiles\default.ugw\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-10 19:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtinte.dll

- - - - - - - > 'explorer.exe'(2500)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
Zeit der Fertigstellung: 2009-12-10  19:37:09
ComboFix-quarantined-files.txt  2009-12-10 18:37

Vor Suchlauf: 10 Verzeichnis(se), 21.280.727.040 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 21.295.206.400 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - CA015986168B60F3BAEF1206D8A82510

#70

Code

GMER 1.0.15.15273 - http://www.gmer.net
Rootkit quick scan 2009-12-10 19:43:22
Windows 5.1.2600 Service Pack 2
Running: k2ybhd90[1].exe; Driver: C:\DOKUME~1\Daniel!\LOKALE~1\Temp\uwtdapod.sys


---- System - GMER 1.0.15 ----

Code            \??\C:\DOKUME~1\Daniel!\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                           fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

#71 Das sieht doch seeehr gut aus

>>
ComboFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /Uninstall --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren

>>
Stelle Avira so ein wie hier beschrieben und führe einen Scan durch. Poste das Log:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

>>
Wie läuft dann die Kiste? Noch Probleme vorhanden?

#72 Muchas gracias die herren
mein Rechner läuft wieder wie ein rotes mopped

Den avira scann mach ich morgen, und poste dann den Log!

#73 OK Es geht dann noch zur Endreinigung

#74 so endreinuigung wurde gemacht
Aber beim starten kommt jetzt immer so ein komisches fenster ( beovr windows auf ist) wo irgendwas mit trend chip away virus detected steht und ein smiley hin und her laeuft....
Wenn ich dann eine diskette rein mache startet er wieder normal!

Was ist das denn ?

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 12. Dezember 2009  19:52

Es wird nach 1433500 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : DANIEL

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 23:22:07
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 23:22:07
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 23:22:07
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 23:22:07
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 23:22:08
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 23:22:08
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 23:22:08
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 23:22:08
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 23:22:08
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 23:22:08
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 23:22:08
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 23:22:08
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 23:22:08
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 23:22:09
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 23:22:09
VBASE016.VDF   : 7.10.1.179      2048 Bytes  07.12.2009 23:22:09
VBASE017.VDF   : 7.10.1.180      2048 Bytes  07.12.2009 23:22:09
VBASE018.VDF   : 7.10.1.181      2048 Bytes  07.12.2009 23:22:09
VBASE019.VDF   : 7.10.1.182      2048 Bytes  07.12.2009 23:22:09
VBASE020.VDF   : 7.10.1.183      2048 Bytes  07.12.2009 23:22:09
VBASE021.VDF   : 7.10.1.184      2048 Bytes  07.12.2009 23:22:10
VBASE022.VDF   : 7.10.1.185      2048 Bytes  07.12.2009 23:22:10
VBASE023.VDF   : 7.10.1.186      2048 Bytes  07.12.2009 23:22:10
VBASE024.VDF   : 7.10.1.187      2048 Bytes  07.12.2009 23:22:10
VBASE025.VDF   : 7.10.1.188      2048 Bytes  07.12.2009 23:22:10
VBASE026.VDF   : 7.10.1.189      2048 Bytes  07.12.2009 23:22:10
VBASE027.VDF   : 7.10.1.190      2048 Bytes  07.12.2009 23:22:10
VBASE028.VDF   : 7.10.1.191      2048 Bytes  07.12.2009 23:22:10
VBASE029.VDF   : 7.10.1.192      2048 Bytes  07.12.2009 23:22:11
VBASE030.VDF   : 7.10.1.193      2048 Bytes  07.12.2009 23:22:11
VBASE031.VDF   : 7.10.1.219    179712 Bytes  11.12.2009 18:16:05
Engineversion  : 8.2.1.108
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.2      582010 Bytes  10.12.2009 18:16:06
AESCN.DLL      : 8.1.3.0      127348 Bytes  10.12.2009 18:16:06
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  09.12.2009 23:22:15
AEPACK.DLL     : 8.2.0.3      422261 Bytes  08.11.2009 06:38:40
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.186   2183544 Bytes  09.12.2009 23:22:14
AEHELP.DLL     : 8.1.8.0      237942 Bytes  09.12.2009 23:22:13
AEGEN.DLL      : 8.1.1.80     364917 Bytes  09.12.2009 23:22:12
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes  10.12.2009 18:16:05
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 12. Dezember 2009  19:52

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '64112' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ViewMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ViewpointService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KEM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aim.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '99' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1652\A0993745.exe
    [FUND]      Ist das Trojanische Pferd TR/PSW.Kates.Q.2
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997222.EXE
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997223.exe
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997224.ini
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Sahat.AO.4
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997225.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997248.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.769
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997255.exe
    [FUND]      Ist das Trojanische Pferd TR/FakeCog.A.26
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997356.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.768
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997357.sys
    [FUND]      Ist das Trojanische Pferd TR/TDss.auyf
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997363.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.NF.2
C:\WINDOWS\$NtUninstallKB938828$\explorer.exe:mian.nest
    [FUND]      Ist das Trojanische Pferd TR/Tiny.6656.A
C:\WINDOWS\$NtUninstallKB938828$\explorer.exe:httpcomm
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.cjh
C:\_OTM\MovedFiles\12082009_015950\C_Dokumente und Einstellungen\Daniel!\LOKALE~1\Temp\wscsvc32.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.acif.1
Beginne mit der Suche in 'D:\' <Volume>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1652\A0993745.exe
    [FUND]      Ist das Trojanische Pferd TR/PSW.Kates.Q.2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5d2089.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997222.EXE
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a299a02.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997223.exe
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a28e2da.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997224.ini
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Sahat.AO.4
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2bea92.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1677\A0997225.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2e924a.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997248.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.769
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a25f922.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997255.exe
    [FUND]      Ist das Trojanische Pferd TR/FakeCog.A.26
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5d208a.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997356.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.768
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a27c9b3.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997357.sys
    [FUND]      Ist das Trojanische Pferd TR/TDss.auyf
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2af16b.qua' verschoben!
C:\System Volume Information\_restore{9F29E099-A382-4925-A5D0-13D52254BDE8}\RP1678\A0997363.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.NF.2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a26d18b.qua' verschoben!
C:\WINDOWS\$NtUninstallKB938828$\explorer.exe:mian.nest
    [FUND]      Ist das Trojanische Pferd TR/Tiny.6656.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9420d2.qua' verschoben!
C:\WINDOWS\$NtUninstallKB938828$\explorer.exe:httpcomm
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.cjh
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48dbcb8b.qua' verschoben!
C:\_OTM\MovedFiles\12082009_015950\C_Dokumente und Einstellungen\Daniel!\LOKALE~1\Temp\wscsvc32.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.acif.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8720cd.qua' verschoben!


Ende des Suchlaufs: Samstag, 12. Dezember 2009  23:59
Benötigte Zeit:  1:19:08 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   6076 Verzeichnisse wurden überprüft
 296165 Dateien wurden geprüft
     13 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     13 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 296150 Dateien ohne Befall
   1684 Archive wurden durchsucht
      2 Warnungen
     15 Hinweise
  64112 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

#75 Hi,
du hast die avira heuristik ja sicher auf hoch eingestellt? wenn du den normalen scan laufen lässt, scannt er leider nicht mit den einstellungen.
Update Avira.
öffne avira, klicke lokaler schutz und lokale laufwerke Scanne deine lokalen laufwerke, dass log posten.
Danach lokaler schutz und Rootkit suche. warnmeldung am ende mit nein anklicken, auch dieses log posten.