Win32/Olmarik Trojaner - unauffindbar

#1 Hallo liebe Leute,
ich habe den Trojaner win32/ olmarik auf dem Rechner - jedenfalls bekomme ich ständig die Meldung. Der Rechner ist extrem langsam geworden und man bekommt beim surfen oft ganz andere Seiten angezeigt, als man angeklickt hat. Sowas ähnliches hatte ich schon mal, aber es war ein anderes Virus auf einem anderen Rechner. Jetzt ist es also der Olmarik. Und es läßt sich nicht auf ihn zugreifen, nicht löschen usw. - also das Kästchen im Meldefenster ist nicht anklickbar.

Die Meldung von ESET NOD32 Antivirus4 lautet:
Bedrohung erkannt
Warnung
Objekt: Arbeitsspeicher
Bedrohung: Win32/Olmarik Trojaner

"Säubern" anklicken ist nicht möglich

Quelle: http://board.protecus.de/newtopic.php?boardid=3#ixzz0gxEmjJcR


Ich habe die Schritte auf folgender Seite durchgeführt: http://board.protecus.de/t23187.htm Aber

nach dem Neustart bekomme ich wieder die gleiche Meldung, daß der Trojaner noch da ist.
Die folgenden Logfile Infos füge ich ein.
Hoffe, es kann mir jemand helfen.


Und der Quick-Scan mit malware hat keinen Fund gemeldet: Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden)

Scan mit GMER ist nicht möglich, bzw. der Rechner stürzt ab, das Bild friert ein.
Bei folgender Anzeige:
sections: c:\\WINDOWS\system32\drivers\atapi.sys


Hijackthis Log:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:10:45, on 01.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodtray.exe
D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\Winamp Remote\bin\OrbTray.exe
D:\Programme\Ares\Ares.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
d:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\oodag.exe
D:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\msiexec.exe
D:\Programme\TrendMicro\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - D:\Programme\AskSearch\bin\DefaultSearch.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - D:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [WinVNC] "D:\Programme\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [egui] "d:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Orb] "D:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [ares] "D:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokale Einstellungen\Temp" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFEPROADMIN2006] "D:\Programme\Steganos Safe Professional 2006 Admin\SAFEPROADMIN2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokale Einstellungen\Temp" (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = D:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - D:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - D:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bandoo Coordinator - Unknown owner - D:\PROGRA~1\Bandoo\Bandoo.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - d:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - d:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - d:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

--
End of file - 8509 bytes



UNINSTALL List:

Adobe Flash Player 10 Plugin
Adobe Photoshop CS2
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player 11.5
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
Any Video Converter 2.7.5
ArcSoft MediaConverter 2.5
Ares 2.1.1
ASIO4ALL
AV3L
Avira AntiVir Personal - Free Antivirus
Bandoo
Bridge Builder
Bullzip PDF Printer 6.0.0.865
Canon i350
Canon ScanGear Starter
C-Media WDM Audio Driver
Collab
CorelDRAW Graphics Suite 12
Der Restaurant-Manager 1.5
Duden Korrektor PLUS 3.5
FireTune
Free WMA to MP3 Converter 1.08
Free YouTube to Mp3 Converter version 3.1
FreePDF XP (Remove only)
GPL Ghostscript Lite 8.64
Green Devils
HiJackThis
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Junk Mail filter update
Langenscheidt T1 6.0
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft .NET Framework 2.0
Microsoft Choice Guard
Microsoft Office Live Add-in 1.3
Microsoft Office OneNote 2003
Microsoft Office Outlook Connector
Microsoft Office Professional Edition 2003
Microsoft Search Enhancement Pack
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
mIRC
mirc.exe
Mozilla Firefox (3.6)
MSVCRT
MSXML 6.0 Parser (KB927977)
Nero 7 Demo
O&O Defrag Professional Edition
Office-Bibliothek 4.0
Okey+ v1.5
QuickTime Alternative 1.68
Real Alternative 1.46
RedMon - Redirection Port Monitor
Registry Toolkit
SA32xx Device Manager
SAMSUNG CDMA Modem Driver Set
SAMSUNG Mobile Composite Device Software
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Segoe UI
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922760)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB925486)
SiS 900 PCI Fast Ethernet Adapter Driver
Spybot - Search & Destroy
Steganos Safe Professional 2006 Admin
Switch Sound File Converter
Syncrosofts Lizenz Kontrolle
System Requirements Lab
Toxic Biohazard
TuneUp Utilities 2008
UltraVNC v1.0.1
Uninstall 1.0.0.1
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
VNC Free Edition 4.1.2
Winamp
Winamp Remote
Winamp Toolbar for Firefox
Windows Imaging Component
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Family Safety
Windows Live Fotogalerie
Windows Live Mail
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live Sync
Windows Live Toolbar
Windows Live Writer
Windows Live-Uploadtool
Windows Media Format Runtime
Windows Media Player 10
WinRAR archiver
Xara3D6

#2 du hast ein rootkit, poste ein combofix logfile.

#3 Danke
woher bekomme ich ein combofix logfile?

#4 Mach aber vorher noch folgendes:

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.


Danach:

http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

#5 habe combofix gefunden und als Test.exe gespeichert. Aber ist es nicht möglich darauf zuzugreifen.
Es kann weder gestartet noch gelöscht werden

#6 Teatimer??? Hab ich glaube ich nicht.
Ich meine, ich hatte bei der Installation von Spybot Teatimer ausgehakt - aber 100% bin ich mir nicht sicher. Auf dem Desktop oder bei Spybot selbst ist kein Button dafür.
Über SUCHEN habe ich eine Teatimer Anwendung gefunden, aber die lies sich nicht durch anklicken öffnen.
Und was mach ich jetzt mit combofix? So blöd, daß man noch mehr Probleme bekommt, während man versucht, eines zu lösen

#7 puuuhh, das war hart ... aber nach Beachtung aller links und Hinweise habe ich jetzt ein sehr dickes Combofix Logfile


ComboFix 10-03-01.01 - ich 02.03.2010 0:55.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.735.508 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\ich\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Im Speicher befindliches AV aktiv.

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\U.exe
c:\windows\EventSystem.log
c:\windows\run.log
c:\windows\system32\_000006_.tmp.dll

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-02 bis 2010-03-02 ))))))))))))))))))))))))))))))
.

2010-03-01 22:34 . 2010-03-01 22:34 -------- d--h--w- c:\windows\PIF
2010-03-01 18:59 . 2010-03-01 18:59 -------- d-----w- d:\programme\TrendMicro
2010-03-01 17:28 . 2010-03-01 17:28 -------- d-----w- d:\dokumente und einstellungen\ich\Anwendungsdaten\Malwarebytes
2010-03-01 17:28 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-01 17:28 . 2010-03-01 17:28 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-01 17:28 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-01 17:28 . 2010-03-01 17:28 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2010-03-01 00:48 . 2010-03-01 01:03 -------- d-----w- d:\programme\Spybot - Search & Destroy
2010-02-28 22:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-28 22:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-02-28 22:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-02-28 18:55 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-28 18:55 . 2010-02-28 18:55 -------- d-----w- d:\programme\Avira
2010-02-28 18:55 . 2010-02-28 18:55 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-02-26 15:56 . 2010-02-26 15:56 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ESET
2010-02-22 16:57 . 2010-02-22 16:57 -------- d-----w- d:\programme\ESET
2010-02-15 16:19 . 2010-02-15 16:19 -------- d-----w- d:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-02-01 14:13 . 2010-02-01 14:13 -------- d-----w- c:\windows\system32\config\systemprofile\Eigene Dateien
2010-02-01 14:12 . 2010-02-01 14:13 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 04:18 . 2006-08-11 15:58 70928 ----a-w- c:\windows\system32\perfc007.dat
2010-03-01 04:18 . 2006-08-11 15:58 405450 ----a-w- c:\windows\system32\perfh007.dat
2010-03-01 01:08 . 2007-06-20 15:31 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-22 16:47 . 2008-02-13 18:54 -------- d-----w- d:\programme\Kaspersky Lab
2010-02-22 16:15 . 2008-02-13 18:52 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-02-17 15:41 . 2006-08-11 15:58 95616 ------w- c:\windows\system32\drivers\atapi.sys
2010-02-15 19:38 . 2007-11-11 00:29 84592 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2010-01-22 13:52 . 2009-09-04 16:20 -------- d-----w- d:\programme\FreePDF_XP
.

------- Sigcheck -------

[-] 2010-02-17 . C4B52426B79C6F6664B70B8E63B1B837 . 95616 . . [5.1.2600.2714] . . c:\windows\system32\drivers\atapi.sys
[-] 2006-08-09 . C4B52426B79C6F6664B70B8E63B1B837 . 95616 . . [5.1.2600.2714] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys

[-] 2006-08-11 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\system32\drivers\asyncmac.sys

[-] 2006-08-11 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys

[-] 2006-08-11 . B128FC0A5CD83F669D5DE4B58F77C7D6 . 25216 . . [5.1.2600.2180] . . c:\windows\system32\drivers\kbdclass.sys

[-] 2006-08-11 . BC84C4F67D0E880B0C46DC0CE2B8CBAA . 182656 . . [5.1.2600.2899] . . c:\windows\system32\drivers\ndis.sys

[-] 2006-08-11 . 23601D0A2C3D71F51315D9BF0CF20EC0 . 574976 . . [5.1.2600.2803] . . c:\windows\system32\drivers\ntfs.sys

[-] 2006-08-11 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys

[-] 2006-08-11 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2006-08-11 . 9C55AF2205A4F0A50B5A90E1505CCD14 . 77824 . . [5.1.2600.2586] . . c:\windows\system32\browser.dll

[-] 2006-08-11 . 183805EB05BCA5A1E4AAAED4D2BE3690 . 13312 . . [5.1.2600.2180] . . c:\windows\system32\lsass.exe

[-] 2006-08-11 . 19D9B6B139F09A72AE71758BDF28308E . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

[-] 2006-08-11 . 3A5E54A9AB96EF2D273B58136FB58EFE . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll

[-] 2006-08-11 . DECEF2EE72D24C0CD16F245D770B9FB2 . 398848 . . [5.1.2600.2846] . . c:\windows\system32\rpcss.dll

[-] 2006-08-11 . EDB6B81761BD60F32F740BBC40AFB676 . 108544 . . [5.1.2600.2180] . . c:\windows\system32\services.exe

[-] 2006-08-11 . AD3D9D191AEA7B5445FE1D82FFBB4788 . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[-] 2006-08-11 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windows\system32\winlogon.exe

[-] 2006-08-11 . 87F3E2D2A3231F820F9248DB90090F42 . 62464 . . [5.1.2600.2845] . . c:\windows\system32\cryptsvc.dll

[-] 2006-08-11 15:58 . 008D9C28D8DC8BEBDE42971289B2C30D . 243200 . . [2001.12.4414.310] . . c:\windows\system32\es.dll

[-] 2006-08-11 . 94101D13A1818A9D08337EEC12ED277A . 110080 . . [5.1.2600.2180] . . c:\windows\system32\imm32.dll

[-] 2006-07-05 . 0BEFE0BF274818EC0785B7B842967313 . 1058816 . . [5.1.2600.2945] . . c:\windows\system32\kernel32.dll
[-] 2006-07-05 . 0BEFE0BF274818EC0785B7B842967313 . 1058816 . . [5.1.2600.2945] . . c:\windows\system32\DllCache\kernel32.dll

[-] 2006-08-11 . 8639B599193D28EB5F4A7F057C2E9F18 . 19968 . . [5.1.2600.2839] . . c:\windows\system32\linkinfo.dll

[-] 2006-08-11 . B4AD65C79F85C61D32C015B11E03CAAD . 22016 . . [5.1.2600.2180] . . c:\windows\system32\lpk.dll

[-] 2006-08-11 . B30BAA48E5063E71C76280E34E7E4802 . 343040 . . [7.0.2600.2180] . . c:\windows\system32\msvcrt.dll

[-] 2006-08-11 . B36E08F680BAE4DFC5C24D00A2DFC9E7 . 247296 . . [5.1.2600.2180] . . c:\windows\system32\mswsock.dll

[-] 2006-08-11 . D27395EDCD3416AFD125A9370DCB585C . 407040 . . [5.1.2600.2180] . . c:\windows\system32\netlogon.dll

[-] 2006-08-11 . BED2F971B02AF985BC6E0ABDB3118B84 . 2183424 . . [5.1.2600.2868] . . c:\windows\system32\ntoskrnl.exe
[-] 2005-03-02 . EB5538A452E0E99169E2B6CDB62FF9D2 . 2181888 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
[-] 2005-03-02 . 7189A2391ADC1F65C9AE87B0ABE0F945 . 2181632 . . [5.1.2600.2622] . . c:\windows\Driver Cache\i386\ntoskrnl.exe

[-] 2006-08-11 . 5604574D490B798BD9A946B021A766AD . 17408 . . [6.00.2900.2180] . . c:\windows\system32\powrprof.dll

[-] 2006-08-11 . B3C5C15F59E7F3555AA148E5D49709A3 . 187904 . . [5.1.2600.2661] . . c:\windows\system32\scecli.dll

[-] 2006-08-11 . F62934BC94299083EBFC8810242D8640 . 5120 . . [5.1.2600.2180] . . c:\windows\system32\sfc.dll

[-] 2006-08-11 . 65A819B121EB6FDAB4400EA42BDFFE64 . 14336 . . [5.1.2600.2180] . . c:\windows\system32\svchost.exe

[-] 2006-08-11 . F07061E18613F336A3120229097F7635 . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

[-] 2006-08-11 . 1E0299A429AD581E0F15D8DF9386D9BA . 578560 . . [5.1.2600.2877] . . c:\windows\system32\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll

[-] 2006-08-11 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe

[7] 2006-08-16 . 7A0447FC01FEA8A7BE802D3BC5DA325F . 70656 . . [5.1.2600.1886] . . c:\windows\SoftwareDistribution\Download\bd29bdd073337f56ecf65709d887d93b\SP1QFE\ws2_32.dll
[-] 2006-08-11 . D569240A22421D5F670BB6FB6DD522B5 . 82944 . . [5.1.2600.2180] . . c:\windows\system32\ws2_32.dll

[-] 2006-08-11 . B29F09778D580466C3B8116B858404BC . 1036288 . . [6.00.2900.2894] . . c:\windows\explorer.exe

[-] 2006-08-11 . E150E7618328562598F4CE0B5851B5CD . 171520 . . [5.1.2600.2567] . . c:\windows\system32\srsvc.dll

[-] 2006-08-11 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

[-] 2006-08-11 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\system32\xmlprov.dll

[-] 2006-08-11 . B932C077D5A65B71B4512544AC404CB4 . 55808 . . [5.1.2600.2180] . . c:\windows\system32\eventlog.dll

[-] 2006-08-11 . DC464CE2BB8A006F994ACAE85E62486E . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2006-08-11 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe

[-] 2006-08-11 . 5ECB167AEA118CA1F1C06106DB530406 . 134656 . . [6.00.2900.2569] . . c:\windows\system32\shsvcs.dll

[-] 2006-08-11 . AE81CF7D7CFA79CD03E8FB99788A7E09 . 59904 . . [5.1.2600.2180] . . c:\windows\system32\regsvc.dll

[-] 2006-08-11 . 7B076096806A84D086D83E54C1D185AF . 193024 . . [5.1.2600.2771] . . c:\windows\system32\schedsvc.dll

[-] 2006-08-11 . 6FA03B462B2FFFE2627171B7FE73EE29 . 71680 . . [5.1.2600.2180] . . c:\windows\system32\ssdpsrv.dll

[-] 2006-08-11 . A0E72E14B0E12B9AA3648FDB31BDE332 . 297472 . . [5.1.2600.2627] . . c:\windows\system32\termsrv.dll

[-] 2006-08-11 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windows\system32\appmgmts.dll

[-] 2006-08-11 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys

[-] 2006-08-09 00:50 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys

[-] 2006-08-11 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ip6fw.sys

[-] 2006-08-11 15:58 . 31DD27AB47F62D383505F35CA972748B . 924432 . . [4.1.6140] . . c:\windows\system32\mfc40u.dll

[-] 2006-08-11 . E5215AB942C5AC5F7EB0E54871D7A27C . 33792 . . [5.1.2600.2180] . . c:\windows\system32\msgsvc.dll

[-] 2006-08-11 . 3F90D937855F3FDED2EC36DAD2738393 . 2060416 . . [5.1.2600.2868] . . c:\windows\system32\ntkrnlpa.exe
[-] 2005-03-02 . BDFF8FFA77EE7DF9758EF8C1E0DA8EFF . 2059136 . . [5.1.2600.2622] . . c:\windows\Driver Cache\i386\ntkrnlpa.exe
[-] 2005-03-02 . AE8364004BBFD70461D2EF34888D3360 . 2059264 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

[-] 2006-08-11 15:58 . 536644BABE7BF3155F4CC4B57017A1CE . 438272 . . [5.1.2400.2674] . . c:\windows\system32\ntmssvc.dll

[-] 2006-08-11 . 09D4A2D7C5A8ABEC227D118765FAADDF . 185856 . . [5.1.2600.2180] . . c:\windows\system32\upnphost.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="d:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"MsnMsgr"="d:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Orb"="d:\programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 495616]
"ares"="d:\programme\Ares\Ares.exe" [2008-12-13 882176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="d:\programme\UltraVNC\winvnc.exe" [2005-08-11 978944]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"ArcSoft Connection Service"="d:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2008-04-17 98616]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"FreePDF Assistant"="d:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"egui"="d:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-08-11 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlpo_01"="md" [X]
"nlpo_03"="md" [X]
"nlpo_04"="move" [X]
"nlpo_02"="advpack.dll" [2006-08-11 102400]
"nlpo_05"="advpack.dll" [2006-08-11 102400]
"nlpo_06"="advpack.dll" [2006-08-11 102400]
"SAFEPROADMIN2006"="d:\programme\Steganos Safe Professional 2006 Admin\SAFEPROADMIN2006.exe" [2005-11-24 2289664]
"MPlayer2_FixUp"="c:\windows\inf\unregmp2.exe" [2005-01-28 196608]

d:\dokumente und einstellungen\ich\Startmen�\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - d:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"SAFEPROADMIN2006"="d:\programme\Steganos Safe Professional 2006 Admin\SAFEPROADMIN2006.exe" -boot
"Duden Korrektor 3.5"=d:\programme\Duden\Duden Korrektor\dk3tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"WinampAgent"=d:\programme\Winamp\winampa.exe
"NeroFilterCheck"=d:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"snpstd3"=c:\windows\vsnpstd3.exe
"SunJavaUpdateSched"="d:\programme\Java\jre1.5.0_09\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"d:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"d:\\Programme\\UltraVNC\\winvnc.exe"=
"d:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"d:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"d:\\Programme\\Ares\\Ares.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16.11.2009 09:06 96408]
R2 ekrn;ESET Service;d:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 09:04 735960]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [22.09.2009 13:41 54752]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [22.06.2007 19:10 6016]
S3 fsssvc;Windows Live Family Safety-Dienst;d:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [13.02.2008 20:14 16896]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Nach Microsoft &Excel exportieren
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\programme\PartyGaming\PartyCasino\RunApp.exe
FF - ProfilePath - d:\dokumente und einstellungen\ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ea1zzrnz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://dict.leo.org/ende?lang=de&lp=ende
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
FF - plugin: d:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: d:\programme\Java\jre1.5.0_09\bin\NPJPI150_09.dll
FF - plugin: d:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: d:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{C94E154B-1459-4A47-966B-4B843BEFC7DB} - d:\programme\AskSearch\bin\DefaultSearch.dll
AddRemove-Bandoo - d:\programme\Bandoo\PreUninstall.exe
AddRemove-Green Devils - d:\progra~1\BLITZK~1\BLITZK~1\UNINST~2\UNWISE.EXE
AddRemove-Switch - d:\programme\NCH Swift Sound\Switch\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 01:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x83F1A856]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7992f10
\Driver\ACPI -> ACPI.sys @ 0xf7904cb8
\Driver\atapi -> atapi.sys @ 0xf7896816
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0130
ParseProcedure -> ntoskrnl.exe @ 0x8056f10e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0130
ParseProcedure -> ntoskrnl.exe @ 0x8056f10e
NDIS: SiS 900 PCI Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf77a4b0a
PacketIndicateHandler -> NDIS.sys @ 0xf7791a0d
SendHandler -> NDIS.sys @ 0xf77a5b40
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2010-03-02 01:10:57
ComboFix-quarantined-files.txt 2010-03-02 00:10

Vor Suchlauf: 7.167.221.760 Bytes frei
Nach Suchlauf: 7.200.182.272 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 23FA5F0439532850B1DD11093E96A5F2

#8 1. mehrere antivirus scanner: instaliere alle außer einen, starte neu.

2. start programme zubehör editor, kopiere ein:

Filelook::
c:\windows\system32\drivers\atapi.sys

speichern unter, dateityp lalle, name cfscript.txt, ort dort wo combofix gespeichert ist, ziehe die datei auf das combofix symbol, poste das log.

#9 Virenfinder,
vielen Dank.
Aber es ist sehr schwer als Laie Deinen Anweisungen zu folgen, weil Du leider etwas wortkarg bist.

zB. Warum mehrere Antivirus Scanner und wieviele? Und warum ausser einen?
Ich hab jetzt zwei, reicht das? Wenn ich neu starte, sind beide aktiv, aber oben wurde gesagt, bevor ich combofix starte, soll ich alle scanner deaktivieren.

Habe cfscript.txt ganz normal gespeichert, weil ich nicht weiß, was lalle ist - dann auf das combofix symbol gezogen, worauf combofix neu gestartet ist und meinte, meine beiden antivirus programme seien geöffnet.

Würde mich um einige aufklärende Worte freuen. LG

#10 sorry.

1. du hast eset + avira. die behindern sich gegenseitig, also musst du einen deinstalieren.

du sollst das oben genannte speichern, dateityp alle dateien, ort dort wo combofix gespeichert ist, name cfscript.txt
also deine löschen und noch mal erstellen.
damm cfscript.txt auf combofix ziehen, programm startet, log posten.

#11 Alles klar Chef
Jetzt hats geklappt:

ComboFix 10-03-01.03 - ich 02.03.2010 13:32:49.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.735.503 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\ich\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: d:\dokumente und einstellungen\ich\Desktop\cfscript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((( Dateien erstellt von 2010-02-02 bis 2010-03-02 ))))))))))))))))))))))))))))))
.

2010-03-02 11:09 . 2010-03-02 11:09 -------- d-----w- c:\windows\system32\wbem\snmp
2010-03-02 11:09 . 2010-03-02 11:09 -------- d-----w- c:\windows\system32\xircom
2010-03-02 11:09 . 2010-03-02 11:09 -------- d-----w- d:\programme\microsoft frontpage
2010-03-01 22:34 . 2010-03-01 22:34 -------- d--h--w- c:\windows\PIF
2010-03-01 18:59 . 2010-03-01 18:59 -------- d-----w- d:\programme\TrendMicro
2010-03-01 17:28 . 2010-03-01 17:28 -------- d-----w- d:\dokumente und einstellungen\ich\Anwendungsdaten\Malwarebytes
2010-03-01 17:28 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-01 17:28 . 2010-03-01 17:28 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-01 17:28 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-01 17:28 . 2010-03-01 17:28 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2010-03-01 00:48 . 2010-03-01 01:03 -------- d-----w- d:\programme\Spybot - Search & Destroy
2010-02-28 18:55 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-26 15:56 . 2010-02-26 15:56 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ESET
2010-02-22 16:57 . 2010-02-22 16:57 -------- d-----w- d:\programme\ESET
2010-02-15 16:19 . 2010-02-15 16:19 -------- d-----w- d:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-02-01 14:13 . 2010-02-01 14:13 -------- d-----w- c:\windows\system32\config\systemprofile\Eigene Dateien
2010-02-01 14:12 . 2010-02-01 14:13 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 04:18 . 2006-08-11 15:58 70928 ----a-w- c:\windows\system32\perfc007.dat
2010-03-01 04:18 . 2006-08-11 15:58 405450 ----a-w- c:\windows\system32\perfh007.dat
2010-03-01 01:08 . 2007-06-20 15:31 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-22 16:47 . 2008-02-13 18:54 -------- d-----w- d:\programme\Kaspersky Lab
2010-02-22 16:15 . 2008-02-13 18:52 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-02-17 15:41 . 2006-08-11 15:58 95616 ------w- c:\windows\system32\drivers\atapi.sys
2010-02-15 19:38 . 2007-11-11 00:29 84592 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2010-01-22 13:52 . 2009-09-04 16:20 -------- d-----w- d:\programme\FreePDF_XP
.

------- Sigcheck -------

[-] 2010-02-17 . C4B52426B79C6F6664B70B8E63B1B837 . 95616 . . [5.1.2600.2714] . . c:\windows\system32\drivers\atapi.sys
[-] 2006-08-09 . C4B52426B79C6F6664B70B8E63B1B837 . 95616 . . [5.1.2600.2714] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys

[-] 2006-08-11 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\system32\drivers\asyncmac.sys

[-] 2006-08-11 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys

[-] 2006-08-11 . B128FC0A5CD83F669D5DE4B58F77C7D6 . 25216 . . [5.1.2600.2180] . . c:\windows\system32\drivers\kbdclass.sys

[-] 2006-08-11 . BC84C4F67D0E880B0C46DC0CE2B8CBAA . 182656 . . [5.1.2600.2899] . . c:\windows\system32\drivers\ndis.sys

[-] 2006-08-11 . 23601D0A2C3D71F51315D9BF0CF20EC0 . 574976 . . [5.1.2600.2803] . . c:\windows\system32\drivers\ntfs.sys

[-] 2006-08-11 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys

[-] 2006-08-11 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2006-08-11 . 9C55AF2205A4F0A50B5A90E1505CCD14 . 77824 . . [5.1.2600.2586] . . c:\windows\system32\browser.dll

[-] 2006-08-11 . 183805EB05BCA5A1E4AAAED4D2BE3690 . 13312 . . [5.1.2600.2180] . . c:\windows\system32\lsass.exe

[-] 2006-08-11 . 19D9B6B139F09A72AE71758BDF28308E . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

[-] 2006-08-11 . 3A5E54A9AB96EF2D273B58136FB58EFE . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll

[-] 2006-08-11 . DECEF2EE72D24C0CD16F245D770B9FB2 . 398848 . . [5.1.2600.2846] . . c:\windows\system32\rpcss.dll

[-] 2006-08-11 . EDB6B81761BD60F32F740BBC40AFB676 . 108544 . . [5.1.2600.2180] . . c:\windows\system32\services.exe

[-] 2006-08-11 . AD3D9D191AEA7B5445FE1D82FFBB4788 . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[-] 2006-08-11 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windows\system32\winlogon.exe

[-] 2006-08-11 . 87F3E2D2A3231F820F9248DB90090F42 . 62464 . . [5.1.2600.2845] . . c:\windows\system32\cryptsvc.dll

[-] 2006-08-11 15:58 . 008D9C28D8DC8BEBDE42971289B2C30D . 243200 . . [2001.12.4414.310] . . c:\windows\system32\es.dll

[-] 2006-08-11 . 94101D13A1818A9D08337EEC12ED277A . 110080 . . [5.1.2600.2180] . . c:\windows\system32\imm32.dll

[-] 2006-07-05 . 0BEFE0BF274818EC0785B7B842967313 . 1058816 . . [5.1.2600.2945] . . c:\windows\system32\kernel32.dll
[-] 2006-07-05 . 0BEFE0BF274818EC0785B7B842967313 . 1058816 . . [5.1.2600.2945] . . c:\windows\system32\DllCache\kernel32.dll

[-] 2006-08-11 . 8639B599193D28EB5F4A7F057C2E9F18 . 19968 . . [5.1.2600.2839] . . c:\windows\system32\linkinfo.dll

[-] 2006-08-11 . B4AD65C79F85C61D32C015B11E03CAAD . 22016 . . [5.1.2600.2180] . . c:\windows\system32\lpk.dll

[-] 2006-08-11 . B30BAA48E5063E71C76280E34E7E4802 . 343040 . . [7.0.2600.2180] . . c:\windows\system32\msvcrt.dll

[-] 2006-08-11 . B36E08F680BAE4DFC5C24D00A2DFC9E7 . 247296 . . [5.1.2600.2180] . . c:\windows\system32\mswsock.dll

[-] 2006-08-11 . D27395EDCD3416AFD125A9370DCB585C . 407040 . . [5.1.2600.2180] . . c:\windows\system32\netlogon.dll

[-] 2006-08-11 . BED2F971B02AF985BC6E0ABDB3118B84 . 2183424 . . [5.1.2600.2868] . . c:\windows\system32\ntoskrnl.exe
[-] 2005-03-02 . EB5538A452E0E99169E2B6CDB62FF9D2 . 2181888 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
[-] 2005-03-02 . 7189A2391ADC1F65C9AE87B0ABE0F945 . 2181632 . . [5.1.2600.2622] . . c:\windows\Driver Cache\i386\ntoskrnl.exe

[-] 2006-08-11 . 5604574D490B798BD9A946B021A766AD . 17408 . . [6.00.2900.2180] . . c:\windows\system32\powrprof.dll

[-] 2006-08-11 . B3C5C15F59E7F3555AA148E5D49709A3 . 187904 . . [5.1.2600.2661] . . c:\windows\system32\scecli.dll

[-] 2006-08-11 . F62934BC94299083EBFC8810242D8640 . 5120 . . [5.1.2600.2180] . . c:\windows\system32\sfc.dll

[-] 2006-08-11 . 65A819B121EB6FDAB4400EA42BDFFE64 . 14336 . . [5.1.2600.2180] . . c:\windows\system32\svchost.exe

[-] 2006-08-11 . F07061E18613F336A3120229097F7635 . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

[-] 2006-08-11 . 1E0299A429AD581E0F15D8DF9386D9BA . 578560 . . [5.1.2600.2877] . . c:\windows\system32\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll

[-] 2006-08-11 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe

[7] 2006-08-16 . 7A0447FC01FEA8A7BE802D3BC5DA325F . 70656 . . [5.1.2600.1886] . . c:\windows\SoftwareDistribution\Download\bd29bdd073337f56ecf65709d887d93b\SP1QFE\ws2_32.dll
[-] 2006-08-11 . D569240A22421D5F670BB6FB6DD522B5 . 82944 . . [5.1.2600.2180] . . c:\windows\system32\ws2_32.dll

[-] 2006-08-11 . B29F09778D580466C3B8116B858404BC . 1036288 . . [6.00.2900.2894] . . c:\windows\explorer.exe

[-] 2006-08-11 . E150E7618328562598F4CE0B5851B5CD . 171520 . . [5.1.2600.2567] . . c:\windows\system32\srsvc.dll

[-] 2006-08-11 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

[-] 2006-08-11 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\system32\xmlprov.dll

[-] 2006-08-11 . B932C077D5A65B71B4512544AC404CB4 . 55808 . . [5.1.2600.2180] . . c:\windows\system32\eventlog.dll

[-] 2006-08-11 . DC464CE2BB8A006F994ACAE85E62486E . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2006-08-11 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe

[-] 2006-08-11 . 5ECB167AEA118CA1F1C06106DB530406 . 134656 . . [6.00.2900.2569] . . c:\windows\system32\shsvcs.dll

[-] 2006-08-11 . AE81CF7D7CFA79CD03E8FB99788A7E09 . 59904 . . [5.1.2600.2180] . . c:\windows\system32\regsvc.dll

[-] 2006-08-11 . 7B076096806A84D086D83E54C1D185AF . 193024 . . [5.1.2600.2771] . . c:\windows\system32\schedsvc.dll

[-] 2006-08-11 . 6FA03B462B2FFFE2627171B7FE73EE29 . 71680 . . [5.1.2600.2180] . . c:\windows\system32\ssdpsrv.dll

[-] 2006-08-11 . A0E72E14B0E12B9AA3648FDB31BDE332 . 297472 . . [5.1.2600.2627] . . c:\windows\system32\termsrv.dll

[-] 2006-08-11 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windows\system32\appmgmts.dll

[-] 2006-08-11 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys

[-] 2006-08-09 00:50 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys

[-] 2006-08-11 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ip6fw.sys

[-] 2006-08-11 15:58 . 31DD27AB47F62D383505F35CA972748B . 924432 . . [4.1.6140] . . c:\windows\system32\mfc40u.dll

[-] 2006-08-11 . E5215AB942C5AC5F7EB0E54871D7A27C . 33792 . . [5.1.2600.2180] . . c:\windows\system32\msgsvc.dll

[-] 2006-08-11 . 3F90D937855F3FDED2EC36DAD2738393 . 2060416 . . [5.1.2600.2868] . . c:\windows\system32\ntkrnlpa.exe
[-] 2005-03-02 . BDFF8FFA77EE7DF9758EF8C1E0DA8EFF . 2059136 . . [5.1.2600.2622] . . c:\windows\Driver Cache\i386\ntkrnlpa.exe
[-] 2005-03-02 . AE8364004BBFD70461D2EF34888D3360 . 2059264 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

[-] 2006-08-11 15:58 . 536644BABE7BF3155F4CC4B57017A1CE . 438272 . . [5.1.2400.2674] . . c:\windows\system32\ntmssvc.dll

[-] 2006-08-11 . 09D4A2D7C5A8ABEC227D118765FAADDF . 185856 . . [5.1.2600.2180] . . c:\windows\system32\upnphost.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-03-02_00.06.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-08-11 15:58 . 2009-08-06 18:24 44768 c:\windows\system32\wups2.dll
+ 2006-11-26 19:33 . 2009-08-06 18:24 35552 c:\windows\system32\wups.dll
+ 2006-11-26 19:33 . 2009-08-06 18:24 53472 c:\windows\system32\wuauclt.exe
+ 2010-03-02 11:14 . 2009-08-06 18:24 44768 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2010-03-02 11:14 . 2009-08-06 18:24 35552 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
+ 2006-11-26 19:33 . 2009-08-06 18:24 35552 c:\windows\system32\DllCache\wups.dll
+ 2006-11-26 19:33 . 2009-08-06 18:24 53472 c:\windows\system32\DllCache\wuauclt.exe
+ 2006-08-11 15:58 . 2009-08-06 18:24 96480 c:\windows\system32\DllCache\cdm.dll
+ 2010-01-27 14:33 . 2010-03-02 11:44 32768 c:\windows\system32\config\systemprofile\UserData\index.dat
- 2010-01-27 14:33 . 2010-03-01 22:56 32768 c:\windows\system32\config\systemprofile\UserData\index.dat
+ 2010-03-02 00:46 . 2010-03-02 00:46 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012010030220100303\index.dat
+ 2010-03-02 00:46 . 2010-03-02 00:46 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012010022220100301\index.dat
+ 2006-11-26 19:43 . 2010-03-02 12:28 49152 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-11-26 19:43 . 2010-03-01 23:51 49152 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-11-26 19:43 . 2010-03-01 23:51 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2006-11-26 19:43 . 2010-03-02 12:28 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2006-08-11 15:58 . 2009-08-06 18:24 96480 c:\windows\system32\cdm.dll
+ 2006-08-11 15:58 . 2009-08-06 18:24 209632 c:\windows\system32\wuweb.dll
+ 2006-11-26 19:33 . 2009-08-06 18:24 327896 c:\windows\system32\wucltui.dll
+ 2006-11-26 19:33 . 2009-08-06 18:23 575704 c:\windows\system32\wuapi.dll
+ 2006-08-11 15:58 . 2009-08-06 18:24 209632 c:\windows\system32\DllCache\wuweb.dll
+ 2006-11-26 19:33 . 2009-08-06 18:24 327896 c:\windows\system32\DllCache\wucltui.dll
+ 2006-11-26 19:33 . 2009-08-06 18:23 575704 c:\windows\system32\DllCache\wuapi.dll
+ 2006-11-26 19:43 . 2010-03-02 12:28 114688 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-26 19:33 . 2009-08-06 18:23 1929952 c:\windows\system32\wuaueng.dll
+ 2006-11-26 19:33 . 2009-08-06 18:23 1929952 c:\windows\system32\DllCache\wuaueng.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="d:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Orb"="d:\programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 495616]
"ares"="d:\programme\Ares\Ares.exe" [2008-12-13 882176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="d:\programme\UltraVNC\winvnc.exe" [2005-08-11 978944]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"ArcSoft Connection Service"="d:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2008-04-17 98616]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"FreePDF Assistant"="d:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"egui"="d:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-08-11 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlpo_01"="md" [X]
"nlpo_03"="md" [X]
"nlpo_04"="move" [X]
"nlpo_02"="advpack.dll" [2006-08-11 102400]
"nlpo_05"="advpack.dll" [2006-08-11 102400]
"nlpo_06"="advpack.dll" [2006-08-11 102400]
"SAFEPROADMIN2006"="d:\programme\Steganos Safe Professional 2006 Admin\SAFEPROADMIN2006.exe" [2005-11-24 2289664]
"MPlayer2_FixUp"="c:\windows\inf\unregmp2.exe" [2005-01-28 196608]

d:\dokumente und einstellungen\ich\Startmen�\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - d:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"SAFEPROADMIN2006"="d:\programme\Steganos Safe Professional 2006 Admin\SAFEPROADMIN2006.exe" -boot
"Duden Korrektor 3.5"=d:\programme\Duden\Duden Korrektor\dk3tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"WinampAgent"=d:\programme\Winamp\winampa.exe
"NeroFilterCheck"=d:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"snpstd3"=c:\windows\vsnpstd3.exe
"SunJavaUpdateSched"="d:\programme\Java\jre1.5.0_09\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"d:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"d:\\Programme\\UltraVNC\\winvnc.exe"=
"d:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"d:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"d:\\Programme\\Ares\\Ares.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16.11.2009 09:06 96408]
R2 ekrn;ESET Service;d:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 09:04 735960]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [22.09.2009 13:41 54752]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [22.06.2007 19:10 6016]
S3 fsssvc;Windows Live Family Safety-Dienst;d:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [13.02.2008 20:14 16896]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Nach Microsoft &Excel exportieren
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\programme\PartyGaming\PartyCasino\RunApp.exe
FF - ProfilePath - d:\dokumente und einstellungen\ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ea1zzrnz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://dict.leo.org/ende?lang=de&lp=ende
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
FF - plugin: d:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: d:\programme\Java\jre1.5.0_09\bin\NPJPI150_09.dll
FF - plugin: d:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: d:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 13:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x83F18856]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7992f10
\Driver\ACPI -> ACPI.sys @ 0xf7904cb8
\Driver\atapi -> atapi.sys @ 0xf7896816
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0130
ParseProcedure -> ntoskrnl.exe @ 0x8056f10e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0130
ParseProcedure -> ntoskrnl.exe @ 0x8056f10e
NDIS: SiS 900 PCI Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf77a4b0a
PacketIndicateHandler -> NDIS.sys @ 0xf7791a0d
SendHandler -> NDIS.sys @ 0xf77a5b40
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2010-03-02 13:44:50
ComboFix-quarantined-files.txt 2010-03-02 12:44
ComboFix2.txt 2010-03-02 00:10

Vor Suchlauf: 7.147.347.968 Bytes frei
Nach Suchlauf: 7.132.672.000 Bytes frei

- - End Of File - - AAC3D3E004CB866504049C14361A6D4D

#12 meld mich in ner stunde, hatte ne kleine op an der hand und muss warten bis der verband ab ist, sonst isses so umständlich.

#13 oohh, gute Besserung ... Die Gesundheit geht vor!
Bin noch ne Weile online und warte gerne. Hoffe, daß ich das Problem dann endlich erledigen kann. Bis später

#14 geht gleich weiter, ist nur n bissel was zu schreiben und das macht sich blöd.
falls du onlinebanking oder sonst etwas in der art betreibst, rufe die bank an, dass muss gesperrt werden, später mussen alle pws geendert werden.

#15 Lade SystemLook von jpshortstuff
http://jpshortstuff.247fixes.com/SystemLook.exe
• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
• Kopiere ein:
atapi.sys
• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.