Aufruf von download.microsoft.com und winupdate nicht mehr möglich

#1 Hallo,

seit gestern wird der Aufruf eines download.microsoft.com auf localhost umgeleitet und windowsupdate.microsoft.com auf google.

Was ich bisher getan habe:
HiJackThis - Log automatisiert auswerten lassen -> mir ist nichts aufgefallen. Hier noch mal das aktuelle log
-----
Logfile of HijackThis v1.99.1
Scan saved at 09:42:09, on 13.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
c:\windows\System32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\System32\svchost.exe
c:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\xampp\apache\bin\Apache.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
c:\windows\Explorer.EXE
c:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\xampp\xampp\mysql\bin\mysqld-nt.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\svchost.exe
c:\windows\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
c:\windows\system32\PRISMSTA.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
c:\windows\DitExp.exe
C:\windows\MXOALDR.EXE
C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\windows\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\stickies\stickies.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\xampp\xampp\apache\bin\Apache.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
c:\windows\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.luk-korbmacher.de/Schule/Orga/frueh.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - c:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] c:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXOBG] c:\windows\MXOALDR.EXE
O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE c:\windows\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE c:\windows\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB4032D9-F097-44A1-9835-3E5F50C262AC}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - c:\Programme\Java\jre6\bin\jqs.exe" -service -config "c:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - c:\windows\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

-------
Desweiteren in der Registry gesucht und einen Eintrag gefunden mit einem merkwürdigen Nameserver. Den habe ich gelöscht.
Dieser Nameserver war auch in den TCP/IP Einstellungen eingetragen. Habe ich auch gelöscht. Neustart brachte kein Ergebnis: Umleitung noch da, Nameserver aber nicht mehr eingetragen.


Virenscans:
eTrust: Kein Virus gefunden
Avira AntiVir: diverses gefunden; hier das Log dazu



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 12. Februar 2009 17:35

Es wird nach 1038808 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: VENUS

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 16:57:13
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16.11.2008 16:16:47
ANTIVIR3.VDF : 7.1.0.97 45056 Bytes 17.11.2008 16:38:59
Engineversion : 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 14:00:07
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 15:06:41
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 15:06:41
AEHELP.DLL : 8.1.1.3 119157 Bytes 07.11.2008 15:06:41
AEGEN.DLL : 8.1.1.0 319859 Bytes 07.11.2008 15:06:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 07.11.2008 15:06:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 12. Februar 2009 17:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S-3-0-58-100031523-100019368-100003897-' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InocIT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stickies.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvjbMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MXOALDR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OneTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkUFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Realmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogWatNT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InoTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InoRT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InoRpc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '50' Prozesse mit '50' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '73' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Bernhard\elite.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.N
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\gama.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.ER
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\loud.exe
[FUND] Ist das Trojanische Pferd TR/Agent.V
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\over.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-11faa9ed-28376e94.zip
[0] Archivtyp: ZIP
--> GetAccess.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.D
--> InsecureClassLoader.class
[FUND] Ist das Trojanische Pferd TR/Forten.Java.2.B
--> Dummy.class
[FUND] Ist das Trojanische Pferd TR/Forten.Java.2
--> Installer.class
[FUND] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.D
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-2ea80fb0-16e677d6.zip
[0] Archivtyp: ZIP
--> GetAccess.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.D
--> InsecureClassLoader.class
[FUND] Ist das Trojanische Pferd TR/Forten.Java.2.B
--> Dummy.class
[FUND] Ist das Trojanische Pferd TR/Forten.Java.2
--> Installer.class
[FUND] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.D
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Eigene Dateien\SVideoCodec4_01a.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Zlob.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Eigene Dateien\vcodec_ver3.105.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.agf
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Temp\Del3.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/180Solutions
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Temp\iinstall.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.17920.1
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\index[1].html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\proover.exe.bak
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\bb.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/BargainBuddy.L.1
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\Del8.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/180Solutions
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\djtopr1150.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/WebRebates.G
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI1797.tmp\multimpp.cab
[0] Archivtyp: CAB (Microsoft)
--> multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI1797.tmp\multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI5FB1.tmp\multimpp.cab
[0] Archivtyp: CAB (Microsoft)
--> multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI5FB1.tmp\multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI687E.tmp\multimpp.cab
[0] Archivtyp: CAB (Microsoft)
--> multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI687E.tmp\multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI7BE7.tmp\multimpp.cab
[0] Archivtyp: CAB (Microsoft)
--> multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\THI7BE7.tmp\multimpp.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.MulltiPP
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\index1[1].html.0.AVB
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f853d0.qua' verschoben!
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\ysb[1].dll
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.DH
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\index[1].html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\istbar_mainstream[2].dll
[FUND] Ist das Trojanische Pferd TR/IstBar.U
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\WinAdTools[1].exe
[FUND] Ist das Trojanische Pferd TR/HideRun.A.6
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\ysb_regular[1].cab.0.AVB
[0] Archivtyp: CAB (Microsoft)
--> ysbactivex.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.FY.1
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\0006_regular[1].cab.0.AVB
[0] Archivtyp: CAB (Microsoft)
--> istactivex.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.TUZ
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\bridge-c24[1].cab
[0] Archivtyp: CAB (Microsoft)
--> WinAdToolsX.dll
[FUND] Ist das Trojanische Pferd TR/HideRun.A.5
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\bridge-c63[1].cab
[0] Archivtyp: CAB (Microsoft)
--> WinAdToolsX.dll
[FUND] Ist das Trojanische Pferd TR/HideRun.A.5
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\ncase_new[2].exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.B
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\sidefind[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.V
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\system[1].exe.0.AVB
[FUND] Ist das Trojanische Pferd TR/Small.KA.5
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\WinWrench[1].dll
[FUND] Ist das Trojanische Pferd TR/HideRun.A.8
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZH5387GJ\sidefind13[1].dll
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.DLL
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZH5387GJ\teenstrax[1].html
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f953d1.qua' verschoben!
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\tmp4.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\tmp8E2.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\_Za04660
[0] Archivtyp: ZIP
--> HNBK/hnbk/Informatik/java/gesammelte Werke Norbert/2005 - SW - Praxis/2005 - SW - Praxis.ace
[1] Archivtyp: ACE
--> 2. Aufgabenstellung_Praxis_SW_2005.doc
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\ScanSpyware v3.8.0.1\baBackupRestore.dll
[FUND] Ist das Trojanische Pferd TR/Fake.ScanSpyware.A
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\Windows Media Player\wmplayer.exe.tmp.0.AVB
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.EQ
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\dar.exe.bak
[FUND] Enthält Erkennungsmuster des Droppers DR/180Solutions
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\Key2.txt
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.R
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\UnstSA2.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.R
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\Downloaded Program Files\WinAdToolsX.dll
[FUND] Ist das Trojanische Pferd TR/HideRun.A.5
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <BACKUP>
D:\daten\Bernhard\HNBK.zip
[0] Archivtyp: ZIP
--> HNBK/hnbk/Informatik/java/gesammelte Werke Norbert/2005 - SW - Praxis/2005 - SW - Praxis.ace
[1] Archivtyp: ACE
--> 2. Aufgabenstellung_Praxis_SW_2005.doc
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\German\eAV_S.Win\AlertCab.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> alert.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\German\eAV_S.Win\Cpackage.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> AVH32DLL.DLL
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>


Ende des Suchlaufs: Donnerstag, 12. Februar 2009 23:46
Benötigte Zeit: 6:10:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

36839 Verzeichnisse wurden überprüft
2220800 Dateien wurden geprüft
52 Viren bzw. unerwünschte Programme wurden gefunden
2 Dateien wurden als verdächtig eingestuft
44 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
---------
Allerdings hatte auch das keinen Erfolg :-( Avira läuft gerade noch einmal, allerdings scheint die Software nichts mehr zu finden.

Und damit bin ich am Ende meines Lateins. Gibt es eine Chance den Rechner zu retten? Oder neu aufsetzen (bitte nicht ....)?

#2 Download Rooter (by Eric_71) zum Desktop
Doppelklick Rooter.exe und lass dein PC scannen
Kopiere den Inhalt des Berichts (C:\rooter.txt) in diesen Thread
__________
MfG Argus

#3 Wow! Vielen Dank für die superschnelle Reaktion! 8-)

Hier das Log:
Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Test ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:26 Go)
D:\ (Local Disk) - NTFS - Total:68 Go (Free:35 Go)
E:\ (Local Disk) - FAT32 - Total:5 Go (Free:1 Go)
F:\ (CD or DVD)
G:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)

13.02.2009|10:20

----------------------\\ Search..

No infections found !


1 - "C:\Rooter$\Rooter_1.txt" - 13.02.2009|10:23

----------------------\\ Scan completed at 10:23

@Update:
Andere Rechner im Netz haben dieses Problem nicht. (Laptop, Rechner meiner Frau). Auf dem Laptop wurden auch keine Viren oä. gefunden.

#4 MalwareBytes' Anti-Malware
Download MalwareBytes' Anti-Malware
Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Quick-scan durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

#5 Nur zur Info: Du musst dein Antivir auch ab und an aktualisieren. Deines ist vom 17.11.08 ! Das ist Steinzeit fuer ein AV Programm. Aktualisiere dein Antivir mindestens 1 mal taeglich...
__________
MfG Ralf
SEO-Spam Hunter

#6 @raman: ich weiß, update war aber (bis eben) nicht möglich ... vermutlich hat irgendetwas den updateprozess geblogt. Jetzt ist das Update durchgelaufen!! Soll ich Antivir noch mal (aktualisiert) laufen lassen?
@Argus: das gleich gilt auch für Anti-malware: das Update war nicht möglich. Ich habe das ganze mal ohne Update laufen lassen,was auch jede Menge Probleme gefunden hat.
Hier das Log:
-----------
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79918
Laufzeit: 6 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 34

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{0985c112-2562-46f2-8da6-92648ba4630f} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bf06da8e-2beb-4816-9bbd-f7625246e245} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{db447818-96b4-40df-8a55-720da496f514} (Adware.ISTBar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\salm (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\WINDOWS\EliteToolBar (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\categories (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images (Adware.EliteToolBar) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\adult.tbr (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\default.tbr (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\search.mnu (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\categories\drugs.mnu (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\categories\fav.mnu (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\categories\porn.mnu (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\casino-ico.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\casino.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\dating-ico.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\dating.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\drugs-ico.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\drugs.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\fav-ico.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\fav.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\porn-ico.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\porn.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\EliteToolBar\xml\images\virus.bmp (Adware.EliteToolBar) -> No action taken.
c:\WINDOWS\system32\sf.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\m3.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\c.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\m.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\p.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\s.ico (Malware.Trace) -> No action taken.
c:\autorun.inf (Trojan.Agent) -> No action taken.
c:\RECYCLER\S-9-8-24-100022280-100017718-100001194-9924.com (Trojan.Agent) -> No action taken.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Test\Favoriten\SMS TRAP.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Test\Startmenü\SMS TRAP.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\matrix30980.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\ios.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\gaopdxbtiwjccs.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\gaopdxkhskssgs.sys (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\gaopdxuqvnsdth.sys (Trojan.Agent) -> No action taken.
---------
Nach Neustart scheint alles gefixt worden zu sein.
Das Update von Malware war jetzt möglich und wurde durchgeführt. Noch mal laufen lassen? (siehe auch oben "Antivir")


Update des Standes: der Zugriff auf "download.microsoft.com" ist aktuell möglich. (Jippiieeehh!! Wird doch! 8-)) )

#7 Update die Programme und lass nochmal laufen
Und schonmal versucht um eTrust von CA zu entfernen?
__________
MfG Argus

#8 Ok, läuft! Wird wohl ne ganze Zeit dauern (ca. 2h) Melde mich, sobald alles durchgelaufen ist.
Was meinst Du mit eTrust? Runterwerfen? Und wenn ja, warum?

#9 Auf ein Rechner gehoert nur ein Virenscanner
Zwei Kapitaene auf ein Schiff geht auch nicht
__________
MfG Argus

#10 so: Avira ist durch ... und hat mit dem Update noch was gefunden ...

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 13. Februar 2009 11:20

Es wird nach 1243886 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: VENUS

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 09:53:54
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 09:53:55
ANTIVIR3.VDF : 7.1.2.20 47104 Bytes 13.02.2009 09:53:56
Engineversion : 8.2.0.76
AEVDF.DLL : 8.1.1.0 106868 Bytes 13.02.2009 09:54:16
AESCRIPT.DLL : 8.1.1.43 344442 Bytes 13.02.2009 09:54:14
AESCN.DLL : 8.1.1.6 127348 Bytes 13.02.2009 09:54:11
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 13.02.2009 09:54:09
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 13.02.2009 09:54:07
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 13.02.2009 09:54:06
AEHELP.DLL : 8.1.2.0 119159 Bytes 13.02.2009 09:54:00
AEGEN.DLL : 8.1.1.14 332148 Bytes 13.02.2009 09:53:59
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.4 176501 Bytes 13.02.2009 09:53:57
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 13. Februar 2009 11:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stickies.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvjbMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MXOALDR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OneTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkUFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Realmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogWatNT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InoTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InoRT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InoRpc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '50' Prozesse mit '50' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '73' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\tmp5.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a054e8f.qua' verschoben!
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\tmp8E3.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a054e93.qua' verschoben!
C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\_Za04660
[0] Archivtyp: ZIP
--> HNBK/hnbk/Informatik/java/gesammelte Werke Norbert/2005 - SW - Praxis/2005 - SW - Praxis.ace
[1] Archivtyp: ACE
--> 2. Aufgabenstellung_Praxis_SW_2005.doc
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP1538\A0121252.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c66689.qua' verschoben!
C:\WINDOWS\Temp\12879390.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cd6ac9.qua' verschoben!
Beginne mit der Suche in 'D:\' <BACKUP>
D:\daten\Bernhard\HNBK.zip
[0] Archivtyp: ZIP
--> HNBK/hnbk/Informatik/java/gesammelte Werke Norbert/2005 - SW - Praxis/2005 - SW - Praxis.ace
[1] Archivtyp: ACE
--> 2. Aufgabenstellung_Praxis_SW_2005.doc
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\RECYCLER\S-3-0-58-100031523-100019368-100003897-4003.com
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c87d0b.qua' verschoben!
D:\RECYCLER\S-9-8-24-100022280-100017718-100001194-9924.com
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ce7d0b.qua' verschoben!
D:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP1538\A0121280.com
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c67d17.qua' verschoben!
D:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP1538\A0121281.com
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c67d18.qua' verschoben!
D:\Tools\eTrust Antivirus\German\eAV_S.Win\AlertCab.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> alert.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\German\eAV_S.Win\Cpackage.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> AVH32DLL.DLL
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>
E:\RECYCLER\S-3-0-58-100031523-100019368-100003897-4003.com
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c87d86.qua' verschoben!
E:\RECYCLER\S-9-8-24-100022280-100017718-100001194-9924.com
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.340
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ce7d87.qua' verschoben!


Ende des Suchlaufs: Freitag, 13. Februar 2009 15:02
Benötigte Zeit: 3:41:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

36846 Verzeichnisse wurden überprüft
2240975 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
2240963 Dateien ohne Befall
22802 Archive wurden durchsucht
10 Warnungen
10 Hinweise

---------
Das schaut garnichtmal sooo schlecht aus: Viel in tmp Dateien und im Papierkorb. Hmmm ...
Malware läuft jetzt, Ergebnis kommt, sobald die Software durch ist.

Allerdings habe ich jetzt noch einen Termin, d.h. Ergebnisse kommen wohl erst morgen früh.

Bis hierher schon vielen, vielen Dank!! Immerhin habe ich jetzt schon mal wieder aktuelle Virenscanner und die Umleitung ist (so scheint's) auch weg. Ich denke, dank Eurer Hilfe bin ich auf einem guten Weg. Morgen schaun'n wir weiter. Bis denne!

#11 Und das alles am Freitag 13/02

Mache Morgen dan auch noch folgendes

ComboFix(by sUBs)

Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus

#12 Ich geh davon aus das Antivir dein Virenscammer ist
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
Suche: CA-Lizenz-Client (CA_LIC_CLNT)
Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Mach dasselbe mit
CA-Lizenzserver (CA_LIC_SRVR)
eTrust Antivirus RPC Server (InoRPC)
eTrust Antivirus Realtime Server (InoRT)
eTrust Antivirus Job Server (InoTask)
eTrust Antivirus RPC Server (InoRPC)
Ereignisprotokoll-Überwachung (LogWatch)

Rechner neu starten
__________
MfG Argus

#13 Guten Morgen lieber Arnold und liebes Forum,

Malware ist durchgelaufen und hat nichts gefunden! Ich spare mir mal das Logfile...

Jetzt also noch mal eine Runde mit Combofix. Auf geht's!

*Update*
Kleines Problem mit ComboFix: auf der Microsoft Support Seite zum Hernuterladen der Wiederherstellungskonsole stehen nur Versionen für SP1 und SP2. Ich habe aber SP3 installiert ... Was tun? SP2 runterladen?

#14 Jaja,geht auch mit SP2
__________
MfG Argus

#15 Sooo, fertig. Bin leider nicht eher dazu gekommen weiter zu machen. Hier also das Combofix - log.
Kleiner Hinweis: Combofix funktioniert ein bißchen anders als in der Anleitung beschrieben. Ansonsten ist alles klar und eindeutig beschrieben.

-----------
ComboFix 09-02-12.03 - Test 2009-02-14 16:01:01.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.295 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Test\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Test\Favoriten\Cheap Pharmacy Online.url
c:\dokumente und einstellungen\Test\Favoriten\Search Online.url
c:\dokumente und einstellungen\Test\Favoriten\VIP Casino.url
c:\dokumente und einstellungen\Test\Startmenü\Cheap Pharmacy Online.url
c:\dokumente und einstellungen\Test\Startmenü\Search Online.url
c:\dokumente und einstellungen\Test\Startmenü\VIP Casino.url
c:\windows\IE4 Error Log.txt
c:\windows\system32\gaopdxcounter
c:\windows\system32\mdm.exe
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-14 bis 2009-02-14 ))))))))))))))))))))))))))))))
.

2009-02-13 10:36 . 2009-02-13 10:36 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\Malwarebytes
2009-02-13 10:35 . 2009-02-13 10:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-13 10:35 . 2009-02-13 10:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-13 10:35 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-13 10:35 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-13 10:20 . 2009-02-13 10:23 <DIR> d-------- C:\Rooter$
2009-02-12 17:29 . 2009-02-12 17:29 <DIR> d-------- c:\programme\Avira
2009-02-12 17:29 . 2009-02-12 17:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-12 17:00 . 2009-02-12 17:00 <DIR> d-------- c:\dokumente und einstellungen\Test\temp
2009-02-12 17:00 . 2009-02-12 17:00 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\TeamViewer
2009-02-11 19:47 . 2009-02-11 19:47 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\Helios
2009-02-11 19:46 . 2009-02-11 19:46 <DIR> d-------- c:\programme\TextPad 5
2009-02-07 09:37 . 2009-02-07 09:37 11 -ra------ c:\windows\amunres.lsl
2009-02-05 17:20 . 2009-02-05 17:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-02-04 12:10 . 2009-02-04 12:10 <DIR> d-------- c:\programme\BASE&E-PLUS
2009-02-04 12:10 . 2007-11-06 10:08 101,120 --a------ c:\windows\system32\drivers\ewusbmdm.sys
2009-02-04 12:10 . 2007-11-06 10:08 24,448 --a------ c:\windows\system32\drivers\ewdcsc.sys
2009-01-19 15:04 . 2009-01-19 15:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\TVG
2009-01-19 15:04 . 2009-01-19 15:04 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\TVG
2009-01-19 15:04 . 2009-01-19 15:04 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\DasTelefonbuch Deutschland

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 10:51 --------- d-----w c:\programme\Mozilla Thunderbird
2009-02-13 09:52 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\stickies
2009-02-12 19:09 --------- d-----w c:\programme\ScanSpyware v3.8.0.1
2009-02-12 10:59 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\FileZilla
2009-02-11 18:54 --------- d-----w c:\programme\emule
2009-02-11 15:56 --------- d-----w c:\programme\PokerStars
2009-02-10 11:12 28,256 ----a-w c:\windows\system32\drivers\MxlW2k.sys
2009-02-09 18:03 --------- d-----w c:\programme\armada
2009-02-07 08:37 --------- d-----w c:\programme\stickies
2009-02-04 11:10 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-04 11:09 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-01-19 12:33 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\vlc
2009-01-05 11:09 --------- d-----w c:\programme\Java
2009-01-03 16:23 --------- d-----w c:\programme\ICQ6.5
2009-01-03 16:23 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\ICQ
2009-01-02 16:32 --------- d-----w c:\programme\ICQ6
2009-01-02 15:51 76,088 ----a-w c:\dokumente und einstellungen\Test\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-28 12:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm
2008-12-28 12:03 --------- d-----w c:\programme\Last.fm
2008-12-21 02:01 --------- d-----w c:\programme\MSXML 4.0
2008-12-17 09:31 --------- d-----w c:\programme\Philips
2008-12-17 09:25 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\InstallShield
2008-12-11 12:01 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-11-14 14:01 86,016 ----a-w c:\windows\system32\OpenAL32.dll
2008-11-14 14:01 262,144 ----a-w c:\windows\system32\wrap_oal.dll
2007-02-07 10:59 41,250 ----a-w c:\dokumente und einstellungen\Test\Anwendungsdaten\wklnhst.dat
2007-01-26 12:51 454,656 ----a-w c:\programme\putty.exe
2006-11-30 14:51 362 ----a-w c:\programme\backup.bat
2006-11-29 19:43 70 ----a-w c:\programme\test.bat
2006-05-08 13:57 2,325 ---ha-w c:\dokumente und einstellungen\Test\hpothb07.dat
2006-05-02 12:28 37,828 ----a-w c:\dokumente und einstellungen\Sonja\Anwendungsdaten\wklnhst.dat
2006-04-25 08:10 667 ---ha-w c:\dokumente und einstellungen\Sonja\hpothb07.dat
2006-04-25 08:10 169 ---ha-w c:\dokumente und einstellungen\All Users\hpothb07.dat
2004-05-01 15:32 73,336 ----a-w c:\dokumente und einstellungen\Sonja\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-08-14 17:13 40,960 ----a-w c:\programme\Uninstall_PCM.exe
2002-11-19 15:01 28,672 ----a-w c:\programme\opera\program\plugins\PlugDef.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"MSMSGS"="c:\programme\Messenger\MSMSGS.EXE" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2003-03-21 487696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-11 136600]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2004-12-08 98304]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2004-10-13 278528]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"MaxtorOneTouch"="c:\progra~1\Maxtor\OneTouch\Utils\OneTouch.exe" [2004-08-31 823296]
"MXOBG"="c:\windows\MXOALDR.EXE" [2003-10-10 94208]
"tvjbmonitor"="c:\programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe" [2006-06-08 53248]
"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-05-28 394240]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-10-06 180269]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"mmtask"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2004-02-04 53248]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]
"CHotkey"="mHotkey.exe" [2003-06-27 c:\windows\mHotkey.exe]
"PRISMSTA.EXE"="PRISMSTA.EXE" [2003-08-04 c:\windows\system32\PRISMSTA.exe]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]
"Cmaudio"="cmicnfg.cpl" [2003-09-12 c:\windows\CMICNFG.CPL]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Test\Startmen�\Programme\Autostart\
Stickies.lnk - c:\programme\stickies\stickies.exe [2008-08-28 765952]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-09 147456]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-09 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2003-06-24 14:23 61440 c:\programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung Common SM]
--------- 2005-07-03 08:20 372736 c:\windows\Samsung\ComSMMgr\SSMMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"eljbmchfi"=c:\windows\System32\cnuecx.exe
"daiqaspt"=c:\windows\System32\cnuecx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\stickies\\stickies.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2007-03-19 6016]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2003-06-12 24704]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [2003-09-10 362688]
S1 M9207;USB 2.0 DVB-T/TV BOX;c:\windows\system32\drivers\M9207BDA.sys [2007-02-06 34272]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a19dd02-f226-11dd-a46c-0060b394b298}]
\Shell\AutoRun\command - L:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a19dd04-f226-11dd-a46c-0060b394b298}]
\Shell\AutoRun\command - L:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-14 c:\windows\Tasks\backup.job
- c:\programme\backup.bat [2006-11-30 15:51]

2005-02-24 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1101245162.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AOLMIcon - c:\programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
MSConfigStartUp-TimeKeeper - c:\programme\TSM\TimeKeeper\TimeKeeper.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
mStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.luk-korbmacher.de/Schule/Orga/frueh.htm
uInternet Settings,ProxyServer = 192.168.1.1:80
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Download with GetRight - c:\programme\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\programme\GetRight\GRbrowse.htm
TCP: {EB4032D9-F097-44A1-9835-3E5F50C262AC} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Test\Anwendungsdaten\Mozilla\Firefox\Profiles\22sizj4h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.klamm.de/?id=192387
FF - plugin: c:\programme\Opera\Program\Plugins\np32dsw.dll
FF - plugin: c:\programme\Opera\Program\Plugins\npdrmv2.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPJava11.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPJava12.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPJava13.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPJava14.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPJava32.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPJPI142_06.dll
FF - plugin: c:\programme\Opera\Program\Plugins\npMausPlugin.dll
FF - plugin: c:\programme\Opera\Program\Plugins\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 16:02:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2422664333-807495586-2551686101-1012\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-02-14 16:05:45
ComboFix-quarantined-files.txt 2009-02-14 15:04:44

Vor Suchlauf: 21 Verzeichnis(se), 28.580.569.088 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 30,295,375,872 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

208 --- E O F --- 2009-02-11 09:28:49