Firefox öffnet unregelmäsig diverse Webseiten

#1 Hallo ich habe das gleiche Problem wie viele andere auch.
Firefox öffnet in unregelmäsigen Abständen beim surfen mir unbekannte Webseiten,
was nicht nur nervt, sondern meines Erachtens nach, auf das Surfen verlangsamt. Kann mir vieleicht jemand helfen?
Ich habe Malwarebytes drüber laufen lassen, wobei das programm diverse malware gefunden und beseitigt hat. Die Popups kommen dennoch immer wieder. Antivir hat beim scan nichts gefunden!

Während ich das hier schreibe ist es wieder passiert, es wurden folgende Webseiten geöffnet:

hxxp://ads.right-ads.com/?pid=11&section_id=353074&partner_id=0&ver=0&etfp=0&etap=0&pop=1&sub_id=0&src_id=0&q=&cat_id=0&namipop=1

hxxp://www.mozilla.com/de/firefox/3.5.4&amp%3bti=1257272544&amp%3br=Ym9hcmQucHJvdGVjdXMuZGU&amp%3bi=NzkuMTk5LjI1MC4yMzY&....

Beim zweiten link wird allerdings nichts angezeigt!




Hier ist mein Malwarebytes Log :

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3051
Windows 6.0.6001 Service Pack 1

29.10.2009 12:27:38
mbam-log-2009-10-29 (12-27-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 322174
Laufzeit: 1 hour(s), 16 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\Adobe\Adobe Photoshop CS4\adobe.photoshop.cs4-nope.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\CryptLoad_1.1.6\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
D:\Adobe Photoshop CS4 Extended Full_DS\PH Full_Desman\Crack\adobe.photoshop.cs4-nope\adobe.photoshop.cs4-nope.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\msb.exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Bobby\AppData\Local\Temp\b.exe (Trojan.Downloader) -> Delete on reboot.
C:\Users\Bobby\AppData\Local\Temp\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.



Hier der [b]Gmer Report[/b] :

EDIT: Der Gmer Log ist im Anhang!!


Hier ist mein [b]Hijackthis Log[/b]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:19, on 03.11.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Program Files\Winamp\winamp.exe
C:\Users\Bobby\Downloads\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{42395A4B-CBC6-41B5-B625-5927D4013190}: NameServer = 217.0.43.113 217.0.43.97
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Update Service (gupdate1c99689d02ecfc6) (gupdate1c99689d02ecfc6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8782 bytes



Ich wäre sehr dankbar wenn mir jemand weiterhelfen könnte :/

#2 Wer keygens nutzt muss sich nicht wundern. lade Combofix führe das programm mit rechtsklick als admin ausführen aus. poste das log.

#3 Ich bin mir ziemlich sicher das ich mir das Virus oder was auch immer über eine Webseite eingefangen habe...

Combifix log kommt gleich!

#4 ComboFix 09-11-03.01 - Bobby 03.11.2009 20:22.1.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3070.1674 [GMT 1:00]
ausgeführt von:: c:\users\Bobby\Desktop\test.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows-Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
ADS - Windows: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1176908105-2154828298-2096191773-500
c:\$recycle.bin\S-1-5-21-2583891853-3236089129-3522841540-500
c:\programdata\ntuser.dat{3f063ea6-6835-11dd-9225-001e6869d2b4}.TMContainer00000000000000000001.regtrans-ms
c:\windows\run.log
c:\windows\system32\AutoRun.inf
c:\windows\system32\KBL.LOG

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-03 bis 2009-11-03 ))))))))))))))))))))))))))))))
.

2009-11-03 19:34 . 2009-11-03 19:36 -------- d-----w- c:\users\Bobby\AppData\Local\temp
2009-11-03 19:34 . 2009-11-03 19:34 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-11-01 21:53 . 2009-11-01 23:17 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-11-01 21:53 . 2009-11-01 21:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-01 20:26 . 2009-11-01 20:26 0 ----a-w- c:\windows\nsreg.dat
2009-10-31 16:29 . 2009-10-31 16:29 -------- d-----w- c:\program files\Funkyplot
2009-10-31 16:11 . 2009-10-31 16:14 -------- d-----w- c:\users\Bobby\AppData\Local\Mathematica
2009-10-31 16:11 . 2009-10-31 16:11 -------- d-----w- c:\users\Bobby\AppData\Roaming\Mathematica
2009-10-31 16:11 . 2009-10-31 16:11 -------- d-----w- c:\programdata\Mathematica
2009-10-31 16:09 . 2008-11-10 20:53 185640 ----a-w- c:\windows\system32\mlmodule32.dll
2009-10-31 16:09 . 2008-11-10 20:53 378152 ----a-w- c:\windows\system32\ml32i3.dll
2009-10-31 16:09 . 2008-11-10 20:53 267560 ----a-w- c:\windows\system32\ml32i2.dll
2009-10-31 16:09 . 2008-11-10 20:53 255272 ----a-w- c:\windows\system32\ml32i1.dll
2009-10-31 16:03 . 2009-10-31 16:28 -------- d-----w- c:\program files\Wolfram Research
2009-10-29 07:35 . 2009-10-29 07:35 -------- d-----w- c:\users\Bobby\AppData\Roaming\Malwarebytes
2009-10-29 07:35 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-29 07:35 . 2009-10-29 07:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-29 07:35 . 2009-10-29 07:35 -------- d-----w- c:\programdata\Malwarebytes
2009-10-29 07:35 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-28 22:08 . 2007-05-16 15:45 443752 ----a-w- c:\windows\system32\d3dx10_34.dll
2009-10-28 22:07 . 2009-10-28 22:07 -------- d-----w- c:\windows\system32\AGEIA
2009-10-28 22:07 . 2009-10-28 22:07 -------- d-----w- c:\program files\AGEIA Technologies
2009-10-28 21:49 . 2009-10-28 21:49 -------- d-----w- c:\program files\2K Games
2009-10-28 21:48 . 2009-10-28 22:06 -------- d-----w- C:\BDS
2009-10-14 10:37 . 2009-10-17 10:33 -------- d-----w- c:\program files\Abe's Oddysee
2009-10-14 10:37 . 1997-03-24 15:42 314368 ----a-w- c:\windows\IsUninst.exe
2009-10-06 08:03 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2009-10-06 08:03 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-10-06 08:03 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2009-10-06 08:03 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-10-06 08:02 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2009-10-06 08:02 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-10-06 08:02 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2009-10-06 08:02 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2009-10-06 08:02 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-03 17:47 . 2007-10-27 01:09 621952 ----a-w- c:\windows\system32\perfh007.dat
2009-11-03 17:47 . 2007-10-27 01:09 123658 ----a-w- c:\windows\system32\perfc007.dat
2009-11-03 17:44 . 2009-02-24 14:09 -------- d-----w- c:\programdata\Google Updater
2009-11-03 17:42 . 2008-07-22 13:25 181273 ----a-w- c:\programdata\nvModes.dat
2009-10-31 16:50 . 2009-06-22 09:44 83064 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-10-29 20:19 . 2008-07-07 19:12 29 ----a-w- c:\windows\popcinfo.dat
2009-10-28 22:07 . 2008-12-06 17:53 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-10-28 21:49 . 2007-10-26 15:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-26 22:31 . 2008-06-28 16:35 8268 ----a-w- c:\users\Bobby\AppData\Local\d3d9caps.dat
2009-10-09 16:15 . 2009-10-03 16:20 -------- d-----w- c:\program files\PKR
2009-10-03 14:38 . 2009-05-28 22:03 -------- d-----w- c:\users\Bobby\AppData\Roaming\dvdcss
2009-10-01 09:29 . 2009-10-04 12:50 195440 ------w- c:\windows\system32\MpSigStub.exe
2009-09-16 22:45 . 2009-09-16 22:23 -------- d-----w- c:\users\Bobby\AppData\Roaming\ChessBase
2009-09-16 22:45 . 2009-09-16 22:45 -------- d-----w- c:\programdata\ChessBase
2009-09-16 22:22 . 2009-09-16 22:22 -------- d-----w- c:\program files\ChessBase
2009-09-11 00:45 . 2009-09-11 00:45 -------- d-----w- c:\programdata\VOWSoft
2009-09-11 00:45 . 2009-09-11 00:45 -------- d-----w- c:\program files\iPodRobot
2009-09-11 00:45 . 2008-08-20 19:20 -------- d-----w- c:\program files\Common Files\Apple
2009-09-08 21:53 . 2009-09-08 21:52 -------- d-----w- c:\program files\CyberLink
2009-08-31 16:35 . 2009-08-31 16:35 76600 ----a-w- c:\windows\system32\dk2cp32.dll
2009-08-31 16:35 . 2009-08-31 16:35 49720 ----a-w- c:\windows\system32\drivers\dk2drv.sys
2009-08-31 16:35 . 2009-08-31 16:35 30520 ----a-w- c:\windows\system32\DK2UInst.exe
2009-08-31 16:35 . 2009-08-31 16:35 24488 ----a-w- c:\windows\system32\dk2vdd.dll
.

------- Sigcheck -------

[7] 2008-07-09 . B35CFCEF838382AB6490B321C87EDF17 . 21560 . . [6.0.6000.16632] . . c:\windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
[-] 2008-01-18 21:41 . 70F073605D1191EC4538CEEA4C023DAE . 21560 . . [------] . . c:\windows\System32\drivers\atapi.sys
[7] 2008-01-18 . 2D9C903DC76A66813D350A562DE40ED9 . 21560 . . [6.0.6001.18000] . . c:\windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[7] 2006-11-02 . 4F4FCB8B6EA06784FB6D475B7EC7300F . 19048 . . [6.0.6000.16386] . . c:\windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 92704]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-09-18 266497]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" -autorun
"ehTray.exe"=c:\windows\ehome\ehTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"EPSON Stylus DX4800 Series (Kopie 1)"=c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "c:\windows\TEMP\E_S8620.tmp" /EF "HKLM"
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe"
"WinampAgent"="c:\program files\Winamp\winampa.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R1 dk2drv;DK2 WindowsNT Driver;c:\windows\System32\drivers\dk2drv.sys [31.08.2009 17:35 49720]
R2 FLE5WNNT;FLE-5 WindowsNT Driver;c:\windows\System32\drivers\fle5wnnt.sys [13.03.2009 01:59 33404]
R2 FLSIFACE;FLSIface;c:\windows\System32\drivers\flsiface.sys [13.03.2009 01:59 13440]
R2 FLSPAR;FLSPar;c:\windows\System32\drivers\flspar.sys [13.03.2009 01:59 16314]
R2 FLSSER;FLSSer;c:\windows\System32\drivers\flsser.sys [13.03.2009 01:59 8344]
R2 FLSVCOM;FLSVCom;c:\windows\System32\drivers\flsvcom.sys [13.03.2009 01:59 34080]
R2 PARLDR2K;ParLdr2k;c:\windows\System32\drivers\parldr2k.sys [13.03.2009 02:01 10454]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [01.11.2009 22:53 1153368]
S2 gupdate1c99689d02ecfc6;Google Update Service (gupdate1c99689d02ecfc6);c:\program files\Google\Update\GoogleUpdate.exe [24.02.2009 15:11 133104]
S3 PRODIGY;PRODIGY;c:\windows\System32\drivers\prodigy.sys [13.03.2009 01:31 32377]
S3 QCPro;Logitech QuickCam Pro USB(PID_D001);c:\windows\System32\drivers\p35u.sys [10.12.2002 18:56 116480]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - KGLCQPOG
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - kglcqpog
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-11-03 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]

2009-11-03 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-24 19:53]

2009-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-24 14:11]

2009-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-24 14:11]

2009-11-03 c:\windows\Tasks\User_Feed_Synchronization-{338AD9A2-55F9-4C9F-B46B-D2B39B55D033}.job
- c:\windows\system32\msfeedssync.exe [2008-07-21 21:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: {42395A4B-CBC6-41B5-B625-5927D4013190} = 217.0.43.113 217.0.43.97
FF - ProfilePath - c:\users\Bobby\AppData\Roaming\Mozilla\Firefox\Profiles\xj531ij4.default\
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
AddRemove-HijackThis - c:\users\Bobby\Downloads\HijackThis.exe
AddRemove-OpenAL - c:\program files\OpenAL\oalinst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 20:36
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\users\Bobby\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x885AAE07]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85d451f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1176908105-2154828298-2096191773-1000\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:48,93,db,3f,8c,8d,17,e3,e1,91,cf,e4,d1,0c,07,7f,a9,b0,11,f7,ae,
80,a3,fe,c5,fb,15,ab,0e,12,e4,70,95,f0,c0,4c,4b,19,6a,72,62,b6,13,15,fe,e9,\
"rkeysecu"=hex:b8,10,6a,68,bb,88,bf,73,c0,51,22,50,53,53,2b,48

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2009-11-03 20:40
ComboFix-quarantined-files.txt 2009-11-03 19:40

Vor Suchlauf: 14 Verzeichnis(se), 61.740.376.064 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 61.799.014.400 Bytes frei




So, der hat mir das ausgespuckt,.... würde mich mal interessieren wie man daraus schlau wird...

#5 Mach noch folgendes:

mbr.exe

Download mbr.exe zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag

#6 Mir ist eben noch eingefallen das AntiVir seitdem ich den Virus habe beim hochfahren immer deaktiviert ist....


EDIT:


Hier der mbr.exe Log



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

#7 wie läuft der pc momentan?

#8 Also seitdem ich online bin ist noch nichts aufgepoppt... warte noch darauf...
Vieleicht ist es ja durch die ganzen scans weg... ich warte nochmal ab...

#9 http://virus-protect.org/cureit.html
im abges modus ausführen funde löschen und log posten. bitte alles unnötige im log weg klicken und nur die Funde posten.

#10 So habe auch den Scan mit dr.web gemacht, es gab nur einen Fund:

Speichervorgang: C:\Windows\system32\wbem\unsecapp.exe:200 BackDoor.Tdss.565 Beseitigt.

#11 update bitte malwarebytes und führe noch mal einen vollständigen scan aus.

#12 Habe Malwarebytes nach einem Update nochmal laufen lassen.
Es wurde nichts gefunden!



Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3099
Windows 6.0.6001 Service Pack 1

04.11.2009 17:03:04
mbam-log-2009-11-04 (17-03-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 314777
Laufzeit: 1 hour(s), 5 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#13 1. avira auf version neun upgraden.
Dazu kannst du diese Anleitung verwenden, alles Die Premium betreffend weg lassen, also mail und webscanner.
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
Danach updaten, klicke lokaler schutz und lokale Laufwerke. funde in quarantäne, log posten.
Danach lokaler schutz und rootkit suche meldung am ende mit nein anklicken, log posten.

#14 Avira ist nun auf Version 9!

Beim Scan der Lokalen Laufwerke wurden 4 infizierte Dateien gefunden:

Scan Lokale Laufwerke:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 4. November 2009 18:01

Es wird nach 1865432 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : Bobby
Computername : BOBBY-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 16:56:18
ANTIVIR3.VDF : 7.1.6.189 252416 Bytes 04.11.2009 16:56:23
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 04.11.2009 16:57:07
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 04.11.2009 16:57:06
AESCN.DLL : 8.1.2.5 127346 Bytes 04.11.2009 16:57:03
AERDL.DLL : 8.1.3.2 479604 Bytes 04.11.2009 16:57:02
AEPACK.DLL : 8.2.0.2 422263 Bytes 04.11.2009 16:56:59
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 04.11.2009 16:56:52
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.11.2009 16:56:32
AEGEN.DLL : 8.1.1.70 364917 Bytes 04.11.2009 16:56:29
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.11.2009 16:56:26
AECORE.DLL : 8.1.8.1 184693 Bytes 04.11.2009 16:56:24
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 11:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 4. November 2009 18:01

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '121078' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '68' Prozesse mit '68' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\HP\BIN\EndProcess.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/KillApp.A
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b55b4aa.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\HP\HPQWare\EasySetup\SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b65b4a2.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <DATA>
D:\Adobe Photoshop CS4 Extended Full_DS\PH Full_Desman.part01.rar
[0] Archivtyp: RAR
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b11c03a.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
--> Crack\adobe.photoshop.cs4-nope.rar
[1] Archivtyp: RAR
--> adobe.photoshop.cs4-nope.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HackTool.Patcher.B
D:\Adobe Photoshop CS4 Extended Full_DS\PH Full_Desman\Crack\adobe.photoshop.cs4-nope.rar
[0] Archivtyp: RAR
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b60c0e3.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
--> adobe.photoshop.cs4-nope.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HackTool.Patcher.B
Beginne mit der Suche in 'E:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Mittwoch, 4. November 2009 18:59
Benötigte Zeit: 58:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

29229 Verzeichnisse wurden überprüft
594121 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
594115 Dateien ohne Befall
5083 Archive wurden durchsucht
6 Warnungen
5 Hinweise
121078 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden









Bei der Rootkit Suche wurde nichts gefunden!



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 4. November 2009 19:06

Es wird nach 1865432 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : Bobby
Computername : BOBBY-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 16:56:18
ANTIVIR3.VDF : 7.1.6.189 252416 Bytes 04.11.2009 16:56:23
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 04.11.2009 16:57:07
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 04.11.2009 16:57:06
AESCN.DLL : 8.1.2.5 127346 Bytes 04.11.2009 16:57:03
AERDL.DLL : 8.1.3.2 479604 Bytes 04.11.2009 16:57:02
AEPACK.DLL : 8.2.0.2 422263 Bytes 04.11.2009 16:56:59
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 04.11.2009 16:56:52
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.11.2009 16:56:32
AEGEN.DLL : 8.1.1.70 364917 Bytes 04.11.2009 16:56:29
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.11.2009 16:56:26
AECORE.DLL : 8.1.8.1 184693 Bytes 04.11.2009 16:56:24
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 11:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 4. November 2009 19:06

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1176908105-2154828298-2096191773-1000\Software\SecuROM\License information\datasecu
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1176908105-2154828298-2096191773-1000\Software\SecuROM\License information\rkeysecu
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '884943' Objekte überprüft, '3' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Mittwoch, 4. November 2009 19:16
Benötigte Zeit: 09:55 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
884943 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

#15

Zitat

D:\Adobe Photoshop CS4 Extended Full_DS\PH Full_Desman\Crack\adobe.photoshop.cs4-nope.rar

Ja?