Virenfund alle 10 minuten

#16 Norman TDSS Cleaner
Version 1.9
Copyright © 1990 - 2010, Norman ASA. Built 2010/03/24 15:16:01

Norman Scanner Engine Version: 6.04.03
Nvcbin.def Version: 6.04.00, Date: 2010/03/24 15:16:01, Variants: 53473

Scan started: 01/04/2010 18:32:28

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: NGF-HOSTPC\Besitzer

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000

Running anti-TDSS module:

TDSS/TDL3 Rootkit Detected!
[WARNING] Overwrite Operation failed (329966)
[WARNING] Rootkit disinfection failed.

TDSS scan complete. Will now scan for related malware

Scanning bootsectors...

Number of sectors found: 2
Number of sectors scanned: 2
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 46ms


Scanning running processes and process memory...

Number of processes/threads found: 3054
Number of processes/threads scanned: 3054
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 38s


Scanning file system...

Scanning: prescan

Scanning: C:\WINDOWS\system32\drivers\*

Scanning: postscan


Running post-scan cleanup routine:
Failed to locate shared service executable: C:\WINDOWS\System32\appmgmts.dll
Removed service: AppMgmt

Number of files found: 296
Number of archives unpacked: 0
Number of files scanned: 296
Number of files not scanned: 0
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 10s

#17 start programme zubehör, editor,
kopiere ein:
Killall::
Mia::
C:\WINDOWS\system32\drivers\nvatabus.sys
datei speichern unter, typ alle dateien. name:
cfscript.txt
speichere dort wo sich combofix.exe befindet.
ziehe cfscript.txt auf combofix, poste das log.

#18 ComboFix 10-03-29.04 - Besitzer 01.04.2010 19:44:37.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1542 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Besitzer\Desktop\cfscript.txt
.

((((((((((((((((((((((( Dateien erstellt von 2010-03-01 bis 2010-04-01 ))))))))))))))))))))))))))))))
.

2010-04-01 14:38 . 2004-06-03 02:40 79360 ----a-r- c:\windows\system32\drivers\nvatabus_2.sys
2010-04-01 07:41 . 2010-04-01 07:41 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-04-01 07:41 . 2010-04-01 07:41 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-03-31 15:28 . 2010-03-31 15:28 -------- d-----w- c:\programme\Trend Micro
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2010-03-31 15:20 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-31 15:20 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-31 09:21 . 2010-03-31 15:28 -------- d-----w- c:\programme\HJT
2010-03-30 17:46 . 2010-03-30 17:46 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-03-30 13:37 . 2010-04-01 05:54 -------- d-----w- c:\programme\LogMeIn Hamachi
2010-03-29 15:21 . 2010-02-03 13:56 26176 ---ha-w- c:\windows\system32\hamachi.sys
2010-03-25 11:19 . 2010-03-25 11:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-03-23 09:06 . 2010-03-25 11:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2010-03-23 09:06 . 2010-03-23 09:06 -------- d-----w- C:\ProgramData
2010-03-22 13:30 . 2010-03-22 13:35 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Command and Conquer 4
2010-03-14 18:03 . 2010-03-14 17:34 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-03-14 17:35 . 2010-03-14 17:34 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-03-14 17:28 . 2010-03-14 17:28 -------- dc----w- c:\windows\system32\DRVSTORE
2010-03-14 17:28 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-03-14 17:10 . 2010-03-14 17:10 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-03-14 17:10 . 2010-03-14 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-03-14 17:10 . 2010-03-14 17:10 -------- d-----w- c:\programme\Lavasoft
2010-03-14 13:10 . 2006-08-30 16:43 266240 ----a-w- c:\windows\Cmi6501Uninstall.exe
2010-03-14 13:10 . 2010-03-14 13:10 -------- d-----w- c:\programme\C-Media 6501 Sound
2010-03-14 13:10 . 2006-09-05 15:04 1419968 ----a-w- c:\windows\system32\drivers\c6501.sys
2010-03-14 13:10 . 2006-08-30 11:38 253952 ----a-w- c:\windows\system32\c6501rm.exe
2010-03-14 13:10 . 2006-06-27 12:54 32768 ----a-w- c:\windows\system32\c6501p.dll
2010-03-14 13:10 . 2005-12-26 15:23 53248 ----a-w- c:\windows\system32\c6501rm.dll
2010-03-14 13:10 . 2001-11-23 10:08 712704 ----a-w- c:\windows\system32\c6501a3d.dll
2010-03-14 11:06 . 2008-04-14 02:22 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-03-14 11:06 . 2008-04-14 02:22 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-03-14 11:06 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-03-14 11:06 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-03-14 11:06 . 2008-04-13 18:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-03-14 11:06 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-03-14 08:59 . 2010-03-14 08:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MumboJumbo
2010-03-14 08:59 . 2010-03-14 08:59 -------- d-----w- c:\programme\Luxor 3
2010-03-09 15:52 . 2010-03-09 15:54 -------- d-----w- c:\programme\Microsoft Works
2010-03-09 15:48 . 2010-03-09 15:49 -------- d-----w- c:\windows\SHELLNEW
2010-03-09 15:47 . 2010-03-09 15:47 -------- d-----r- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-01 17:08 . 2010-01-18 23:49 -------- d-----w- c:\programme\Steam
2010-04-01 17:01 . 2002-08-29 12:00 3328 ----a-w- c:\windows\system32\drivers\pciide.sys
2010-04-01 15:27 . 2010-02-22 09:07 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Winamp
2010-04-01 15:27 . 2010-01-19 16:54 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2010-04-01 14:46 . 2010-01-18 23:31 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\ICQ
2010-04-01 14:25 . 2010-01-19 17:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-01 10:59 . 2010-03-31 22:40 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\6nWtI03W.dat
2010-03-31 22:39 . 2010-01-19 09:06 -------- d-----w- c:\programme\COMODO
2010-03-31 15:44 . 2010-02-22 09:07 -------- d-----w- c:\programme\Winamp
2010-03-30 20:58 . 2010-01-21 10:27 929688 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-03-30 17:59 . 2010-02-05 19:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2010-03-30 17:20 . 2010-01-18 23:04 24752 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-28 15:42 . 2002-08-29 12:00 448396 ----a-w- c:\windows\system32\perfh007.dat
2010-03-28 15:42 . 2002-08-29 12:00 80092 ----a-w- c:\windows\system32\perfc007.dat
2010-03-22 13:09 . 2010-02-06 14:06 -------- d-----w- c:\programme\Electronic Arts
2010-03-09 15:58 . 2010-01-21 10:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-24 22:57 . 2010-02-05 19:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2010-02-22 09:07 . 2010-01-18 23:48 -------- d-----w- c:\programme\Winamp Detect
2010-02-12 16:50 . 2010-01-18 23:39 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Ahead
2010-02-09 21:46 . 2010-02-09 21:45 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\fretsonfire
2010-02-09 21:45 . 2010-02-09 21:44 -------- d-----w- c:\programme\Frets on Fire
2010-02-06 14:46 . 2010-02-06 14:38 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Command and Conquer 4 Beta
2010-02-06 14:17 . 2010-02-06 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc
2010-02-05 19:45 . 2010-02-05 19:45 -------- d-----w- c:\programme\VideoLAN
2010-01-24 14:37 . 2010-01-24 14:38 505128 ----a-w- c:\windows\system32\msvcp71.dll
2010-01-24 14:37 . 2010-01-24 14:38 353576 ----a-w- c:\windows\system32\msvcr71.dll
2010-01-24 14:37 . 2010-01-24 14:38 29480 ----a-w- c:\windows\system32\msxml3a.dll
2010-01-19 16:47 . 2010-01-18 22:45 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-01-18 23:41 . 2010-01-18 23:41 0 ----a-w- c:\windows\nsreg.dat
2010-01-18 22:45 . 2010-01-18 22:45 558142 ----a-w- c:\windows\java\Packages\VVN7TZTJ.ZIP
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\OTZJBFJJ.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\ECE21V5Z.DAT
2010-01-18 22:45 . 2010-01-18 22:45 155995 ----a-w- c:\windows\java\Packages\OZF9J37F.ZIP
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\SM4OA5RB.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\71BVDBTB.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\64G9BR7F.DAT
2010-01-18 22:43 . 2010-01-18 22:43 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

Code

<pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\ATI Technologies\ATI.ACE\CLIStart .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck .exe
c:\programme\LogMeIn Hamachi\hamachi-2-ui .exe
c:\programme\Nero\Nero 7\InCD\InCD .exe
c:\programme\Nero\Nero 7\InCD\NBHGui .exe
c:\programme\Winamp\winampa .exe
</pre>

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-01-19 2937528]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [N/A]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [N/A]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [N/A]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [N/A]
"C6501Sound"="c6501.cpl" [N/A]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 4 Tiberian Twilight\\Data\\CNC4.game"=
"c:\\Programme\\Steam\\steamapps\\topplayer8260\\counter-strike\\hl.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.03.2010 19:28 64288]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1263728]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-01 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 17:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\kx0q2asj.default\
FF - prefs.js: browser.search.selectedEngine - collectr
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-01 19:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\RunDll32.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-01 20:02:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-01 18:02
ComboFix2.txt 2010-04-01 14:57
ComboFix3.txt 2010-04-01 11:41

Vor Suchlauf: 3.583.942.656 Bytes frei
Nach Suchlauf: 3.557.638.144 Bytes frei

- - End Of File - - F95AA3AB9CC333315D2B8AE7AA65A7C7

#19 hmm, wie läuft er im moment?

#20 also combofix hatte kleine probleme beim rechnerneustart gehabt gestern und die logdatei zu erstellen hatte fast ne stunde gedauert... aber scheint so als würde das system jetzt wieder stabil arbeiten.... ich werde das noch beobachten und falls das problem wieder auftriit melde ich mich wieder.

Danke für die hilfe!


Gruß HaD89

#21 kannst du mir bitte ein neues gmer log erstellen und posten?

#22 wird gemacht kanns dann morgen früh posten

#23 ok gmer hatte ich leider schon wieder vom rechner verbannt und der download is offline

#24

Zitat

HaD89 postete
Heute morgen kam leider wieder eine Serie von Funden

hab den log den ich gestern abend gemacht hab eingefügt

sowie die HJT logs

EDIT: hab glaubich die HJT logfile 2 mal reinkopiert

radix:
http://www.chip.de/downloads/Radix-Antirootkit_33955330.html
download radix antirootkit.
schalte alle laufenden programme, wie avira guard ab, trenne die internetverbindung durch das ziehen des netzwerkkabels, bzw wlan ausschalten, radix öffnen, 1-klick wartung, alles anhaken, scan starten wenn meldungen auftauchen, diese posten bzw aufschreiben und mit yes bestätigen. das log ist ziemlich groß bitte als datei anhängen

#25 so bitteschön

#26 sieht gut aus, noch probleme?

#27 nö bisher keine probleme, keine funde und rechner arbeitet wieder mit normalem tempo, anwendungen genauso


nochmal danke für die hilfe ich betrachte das problem als behoben

#28 wenn du alle passwörter geendert und auch die benutzten programme, dann ja