System sehr langsam, trojaner, brauche Ratschlag

#1 Hallo,

ich bin neu im Forum. Seit ein paar tagen ist der rechner total langsam. erste scans liefern mir dass mein system verseucht ist. Ich brauche Hilfe weil ich leider nicht viel auskenne und dringend Hilfe brauche. Danke schonmals.

Ich werde einige Informationen zu ODT,Malwarebytes etc. liefern damit ihr mir sinnvoll schnell helfen könnt.

1) Malwarebytes:
Ich habe hier 2 Läufe gemacht. der erste lieferte mir 5 infizierte objekte die ich alle gelöscht habe per Malwarebytes. Der zweite Lauf liefert jetzt folgendes logfile:

Code

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6713

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.05.2011 18:59:52
mbam-log-2011-05-29 (18-59-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 209321
Laufzeit: 51 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2) Hijack liefert ergebnisse aber alles soweit in ordnung - ich hab das
logfile online prüfen lassen - da sollte alles in ordnung sein.



3) OTL liefert logfile:

OTL.txt

Code

OTL logfile created on: 29.05.2011 19:04:05 - Run 1
OTL by OldTimer - Version 3.2.23.0     Folder = C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,23 Mb Total Physical Memory | 427,43 Mb Available Physical Memory | 42,10% Memory free
2,38 Gb Paging File | 1,81 Gb Available in Paging File | 75,88% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 61,40 Gb Free Space | 82,39% Space Free | Partition Type: NTFS
 
Computer Name: YOUR-8D652975E8 | User Name: ***** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe (Bytemobile, Inc.)
PRC - C:\Programme\HPQ\HP Connection Manager 2\bin\mdvauthsrv.exe (HP)
PRC - C:\Programme\HPQ\HP Connection Manager 2\bin\mdvsrv.exe (HP)
PRC - C:\QUALCOMM\QDLService\QDLService.exe (QUALCOMM, Inc.)
PRC - C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe ()
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe (Broadcom Corporation.)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
PRC - C:\WINDOWS\system32\PGPserv.exe (PGP Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\BtMmHook.dll (Broadcom Corporation.)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (Norton Internet Security) --  File not found
SRV - (AppMgmt) --  File not found
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (mdvauthsrv) -- C:\Programme\HPQ\HP Connection Manager 2\bin\mdvauthsrv.exe (HP)
SRV - (mdvsrv) -- C:\Programme\HPQ\HP Connection Manager 2\bin\mdvsrv.exe (HP)
SRV - (QDLService) -- C:\QUALCOMM\QDLService\QDLService.exe (QUALCOMM, Inc.)
SRV - (9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269) -- C:\Programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe ()
SRV - (PGPserv) -- C:\WINDOWS\system32\PGPserv.exe (PGP Corporation)
SRV - (IDriverT) -- c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (xpsec) --  File not found
DRV - (xcpip) --  File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (qcusbnethp) -- C:\WINDOWS\system32\drivers\qcusbnethp.sys (QUALCOMM Incorporated)
DRV - (qcusbserhp) -- C:\WINDOWS\system32\drivers\qcusbserhp.sys (QUALCOMM Incorporated)
DRV - (QCFilterhp) -- C:\WINDOWS\system32\drivers\qcfilterhp.sys (QUALCOMM Incorporated)
DRV - (SaibVd32) -- C:\WINDOWS\system32\drivers\SaibVd32.sys (Sonic Solutions)
DRV - (SahdIa32) -- C:\WINDOWS\System32\Drivers\SahdIa32.sys (Sonic Solutions)
DRV - (SaibIa32) -- C:\WINDOWS\System32\Drivers\SaibIa32.sys (Sonic Solutions)
DRV - (tcpipBM) -- C:\WINDOWS\System32\drivers\tcpipBM.sys (Bytemobile, Inc.)
DRV - (SysCow) -- C:\WINDOWS\system32\drivers\syscow32x.sys (Sonic Solutions)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (PGPwded) -- C:\WINDOWS\System32\drivers\PGPwded.sys (PGP Corporation)
DRV - (PGPsdkDriver) -- C:\WINDOWS\system32\drivers\PGPsdk.sys (PGP Corporation)
DRV - (pgpfs) -- C:\WINDOWS\System32\Drivers\PGPfsfd.sys (PGP Corporation)
DRV - (PGPdisk) -- C:\WINDOWS\System32\drivers\PGPdisk.sys (PGP Corporation)
DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (btwhid) -- C:\WINDOWS\system32\drivers\btwhid.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=minipavilion&pf=cnnb
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
 
FF - HKLM\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\addon\ [2009.08.27 10:43:58 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.29 14:04:47 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.29 13:53:01 | 000,000,000 | ---D | M]
 
[2011.05.29 14:05:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions
[2011.05.29 14:04:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.01.13 19:24:49 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
File not found (No name found) -- 
[2011.01.13 19:23:49 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.09.05 22:35:48 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.04.14 18:40:03 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2011.01.13 19:23:45 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.15 06:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AESTFltr]  File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [IDTSysTrayApp]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [MobileConnect] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\PGPlsp.dll (PGP Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\System32\PGPlsp.dll (PGP Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - C:\WINDOWS\System32\PGPlsp.dll (PGP Corporation)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1251709770312 (MUWebControl Class)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab (HP Download Manager)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (PGPmapih.dll) - C:\WINDOWS\System32\PGPmapih.dll (PGP Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Firestorm.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Firestorm.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2011.05.29 17:29:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
[2011.05.29 17:29:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AVS4YOU
[2011.05.29 17:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Startmenü\Programme\AVS4YOU
[2011.05.29 17:28:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AVS4YOU
[2011.05.29 17:28:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\AVSMedia
[2011.05.29 17:27:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\SxsCaPendDel
[2011.05.29 17:24:06 | 000,024,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml3a.dll
[2011.05.29 17:24:04 | 000,000,000 | ---D | C] -- C:\Programme\AVS4YOU
[2011.05.29 15:32:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
[2011.05.29 15:32:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.05.29 15:32:37 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.05.29 15:32:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.05.29 15:32:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.05.29 15:32:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.05.29 14:05:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla
[2011.05.21 11:27:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\pdfs
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2011.05.29 19:02:57 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.05.29 18:37:58 | 000,000,274 | ---- | M] () -- C:\WINDOWS\tasks\BackOnTrack Instant Restore Idle.job
[2011.05.29 18:03:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.29 18:03:40 | 1064,620,032 | -HS- | M] () -- C:\hiberfil.sys
[2011.05.29 18:03:40 | 000,177,056 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.05.29 17:28:51 | 000,000,918 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\AVS4YOU Software Navigator.lnk
[2011.05.29 17:28:34 | 000,000,874 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\AVS Registry Cleaner.lnk
[2011.05.29 15:32:38 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.05.29 15:05:37 | 074,109,780 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\regbackup.reg
[2011.05.29 14:04:49 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.05.22 20:15:22 | 000,008,192 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.17 21:44:49 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2011.05.29 19:02:49 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.05.29 17:28:51 | 000,000,918 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\AVS4YOU Software Navigator.lnk
[2011.05.29 17:28:34 | 000,000,874 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\AVS Registry Cleaner.lnk
[2011.05.29 15:32:38 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.05.29 15:05:27 | 074,109,780 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\regbackup.reg
[2011.05.29 14:04:49 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.05.29 14:04:48 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2010.09.17 18:26:44 | 000,008,192 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.17 13:33:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.07.01 08:46:11 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.09.02 15:41:52 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat.temp
[2009.09.02 15:41:52 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat.temp
[2009.09.02 14:44:28 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2009.09.02 14:44:27 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2009.08.26 20:04:31 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.08.26 18:28:28 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak
[2009.08.26 18:28:27 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak
[2009.08.26 18:28:27 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak
[2009.06.16 13:25:04 | 000,121,512 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4
[2009.04.09 16:47:04 | 000,013,824 | ---- | C] () -- C:\WINDOWS\System32\CallSimReader.dll
[2009.04.09 16:46:04 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\SimReader.dll
[2009.03.17 03:00:54 | 000,029,752 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.03.17 02:35:16 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2008.09.02 07:25:26 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2008.06.25 10:14:54 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.06.25 10:14:40 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008.06.25 09:52:48 | 000,463,096 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.06.25 09:52:48 | 000,444,562 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.06.25 09:52:48 | 000,085,940 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.06.25 09:52:48 | 000,072,438 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.06.25 09:42:02 | 000,177,056 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.06.25 09:37:44 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.06.25 09:36:02 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.05.21 10:36:30 | 000,000,280 | ---- | C] () -- C:\WINDOWS\System32\PGPsdk.dll.sig
[2008.04.15 06:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.15 06:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.15 06:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.15 06:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.15 06:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.15 06:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.15 06:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.15 06:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.15 06:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.15 06:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.05.28 23:55:42 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002.05.28 23:54:40 | 000,004,605 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2010.08.01 13:09:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
[2009.08.27 08:15:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PGP Corporation
[2009.03.17 02:58:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QUALCOMM
[2009.03.17 02:51:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Uninstall
[2009.08.27 10:53:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2011.05.29 13:51:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\MigoMobile
[2010.07.01 08:47:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PGP Corporation
[2009.03.17 02:36:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TMP
[2010.07.01 08:47:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Vodafone
[2011.05.29 18:37:58 | 000,000,274 | ---- | M] () -- C:\WINDOWS\Tasks\BackOnTrack Instant Restore Idle.job
 
[color=#E56717]========== Purity Check ==========[/color]
 
 

< End of report >

Extras.txt

Code

OTL Extras logfile created on: 29.05.2011 19:04:05 - Run 1
OTL by OldTimer - Version 3.2.23.0     Folder = C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,23 Mb Total Physical Memory | 427,43 Mb Available Physical Memory | 42,10% Memory free
2,38 Gb Paging File | 1,81 Gb Available in Paging File | 75,88% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 61,40 Gb Free Space | 82,39% Space Free | Partition Type: NTFS
 
Computer Name: YOUR-8D652975E8 | User Name: ***** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== System Restore Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\HP\HP Officejet 6500 E710n-z\Bin\DeviceSetup.exe" = C:\Programme\HP\HP Officejet 6500 E710n-z\Bin\DeviceSetup.exe:LocalSubNet:Enabled:HP Geräteeinrichtung -- (Hewlett-Packard Co.)
"C:\Programme\HP\HP Officejet 6500 E710n-z\Bin\HPNetworkCommunicator.exe" = C:\Programme\HP\HP Officejet 6500 E710n-z\Bin\HPNetworkCommunicator.exe:LocalSubNet:Enabled:HP Netzwerkkommunikator -- (Hewlett-Packard Co.)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0517F875-BBB2-4812-A63E-733B33CEF215}" = Roxio Instant Restore
"{082702D5-5DD8-4600-BCE5-48B15174687F}" = HP Doc Viewer
"{11FFE8F9-A80C-4F08-9BDB-601526DE5977}" = Qualcomm Gobi Driver Package for HP
"{130E5108-547F-4482-91EE-F45C784E08C7}" = HP Officejet 6500 E710n-z Hilfe
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{275E7C8F-5407-4E2D-9506-0DC5BC59B14E}" = MigoMobile DESKTOP 4
"{2B682751-E749-441C-A4B3-1F538E26E56E}" = Roxio Instant Restore Recovery Disk
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Roxio Update Manager
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32F9BACF-FCD3-4B6A-AD85-255A449B6FA5}" = Roxio BackOnTrack
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}" = Roxio BackOnTrack
"{69DAC00A-7665-4E9B-B441-093D40736429}" = HP BatteryCheck 2.10 A2
"{6E2646CA-022F-447E-A192-B7EC4C8C0783}" = Qualcomm Gobi Images for HP
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber 
"{75674E4C-CDE5-4E64-8014-FDF6D9204C4B}" = HP Officejet 6500 E710n-z - Grundlegende Software für das Gerät
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79A64F98-1796-4FA2-B5FF-C90F83D8BACD}" = Vodafone Mobile Connect
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{87A83C6F-F53C-448A-B078-FF00E3EAEB29}" = Roxio Disaster Recovery
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8C5F5AFF-23F2-48DF-9D20-A90DC85D5276}" = HP Connection Manager 2
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{901A0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Outlook 2003
"{909B62B0-8ACA-4061-A83B-09CAEF609619}" = MSXML 6.0 Parser
"{95120000-00AF-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (English)
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{9ADABDDE-9644-461B-9E73-83FA3EFCAB50}" = HP Wireless Assistant
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A3CCAB46-A06E-4F47-96FC-886733BE9708}" = PGP Desktop
"{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}" = HP Help and Support
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{B5B25043-42A0-4490-A425-C7A6284213E6}" = HP User Guides 0130
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DB518BA6-CB74-4EB6-9ABD-880B6D6E1F38}" = HpSdpAppCoreApp
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4
"AVSRegistryCleaner_is1" = AVS Registry Cleaner version 2.2
"Broadcom 802.11b Network Adapter" = Broadcom 802.11-WLAN-Adapter
"CCleaner" = CCleaner (remove only)
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 28.05.2011 05:41:07 | Computer Name = YOUR-8D652975E8 | Source = COM+ | ID = 135894
Description = Ein aufgetretener Zustand zeigt an, dass die COM+-Anwendung einen 
instabilen Status hat oder nicht ordnungsgemäß funktioniert. Assertionsfehler: SUCCEEDED(hr)

Serveranwendungs-ID:
 {02D4B3F1-FD88-11D1-960D-00805FC79235}  Serveranwendungsinstanz-ID:  {C5BC87A0-9211-4D7D-85D4-93991CA61087}
Serveranwendungsname:
 System Application  Da ein schwerwiegender Fehler vorliegt, wurde der Prozess beendet.
Fehlercode
 = 0x8000ffff: Schwerwiegender Fehler  COM+-Dienste - interne Informationen:  Datei:
 f:\xpsp3\com\com1x\src\comsvcs\tracker\trksvr\trksvrimpl.cpp, Zeile: 3000  Dateiversion
 von 'Comsvcs.dll': ENU 2001.12.4414.702 s
 
Error - 28.05.2011 06:38:20 | Computer Name = YOUR-8D652975E8 | Source = COM+ | ID = 135894
Description = Ein aufgetretener Zustand zeigt an, dass die COM+-Anwendung einen 
instabilen Status hat oder nicht ordnungsgemäß funktioniert. Assertionsfehler: SUCCEEDED(hr)

Serveranwendungs-ID:
 {02D4B3F1-FD88-11D1-960D-00805FC79235}  Serveranwendungsinstanz-ID:  {96D2AF83-240B-4A39-B85D-3ADABCA51975}
Serveranwendungsname:
 System Application  Da ein schwerwiegender Fehler vorliegt, wurde der Prozess beendet.
Fehlercode
 = 0x8000ffff: Schwerwiegender Fehler  COM+-Dienste - interne Informationen:  Datei:
 f:\xpsp3\com\com1x\src\comsvcs\tracker\trksvr\trksvrimpl.cpp, Zeile: 3000  Dateiversion
 von 'Comsvcs.dll': ENU 2001.12.4414.702 s
 
Error - 28.05.2011 06:38:20 | Computer Name = YOUR-8D652975E8 | Source = COM+ | ID = 135761
Description = In der Laufzeitumgebung wurde ein inkonsistenter interner Status erkannt.
 Dies deutet auf eine potenzielle Instabilität des Prozesses hin. Diese Instabilität
 wird durch die in der COM+-Anwendung ausgeführten benutzerdefinierten Komponenten,
 die von ihnen verwendeten Komponenten oder durch andere Faktoren verursacht. Fehler
 in f:\xpsp3\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80080005: InitEventCollector
 fail
 
Error - 28.05.2011 06:38:20 | Computer Name = YOUR-8D652975E8 | Source = VSS | ID = 12292
Description = Volumeschattenkopie-Dienstfehler: Beim Erstellen der Schattenkopieanbieter-COM-Klasse
 mit CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80080005] ist ein Fehler aufgetreten.
 
Error - 28.05.2011 06:38:22 | Computer Name = YOUR-8D652975E8 | Source = COM+ | ID = 135894
Description = Ein aufgetretener Zustand zeigt an, dass die COM+-Anwendung einen 
instabilen Status hat oder nicht ordnungsgemäß funktioniert. Assertionsfehler: SUCCEEDED(hr)

Serveranwendungs-ID:
 {02D4B3F1-FD88-11D1-960D-00805FC79235}  Serveranwendungsinstanz-ID:  {06289D32-F9EB-40A7-B7E0-483B32408CC9}
Serveranwendungsname:
 System Application  Da ein schwerwiegender Fehler vorliegt, wurde der Prozess beendet.
Fehlercode
 = 0x8000ffff: Schwerwiegender Fehler  COM+-Dienste - interne Informationen:  Datei:
 f:\xpsp3\com\com1x\src\comsvcs\tracker\trksvr\trksvrimpl.cpp, Zeile: 3000  Dateiversion
 von 'Comsvcs.dll': ENU 2001.12.4414.702 s
 
Error - 28.05.2011 06:38:30 | Computer Name = YOUR-8D652975E8 | Source = COM+ | ID = 135894
Description = Ein aufgetretener Zustand zeigt an, dass die COM+-Anwendung einen 
instabilen Status hat oder nicht ordnungsgemäß funktioniert. Assertionsfehler: SUCCEEDED(hr)

Serveranwendungs-ID:
 {02D4B3F1-FD88-11D1-960D-00805FC79235}  Serveranwendungsinstanz-ID:  {98CA8797-73C3-46CC-A82D-73050AE9A2F9}
Serveranwendungsname:
 System Application  Da ein schwerwiegender Fehler vorliegt, wurde der Prozess beendet.
Fehlercode
 = 0x8000ffff: Schwerwiegender Fehler  COM+-Dienste - interne Informationen:  Datei:
 f:\xpsp3\com\com1x\src\comsvcs\tracker\trksvr\trksvrimpl.cpp, Zeile: 3000  Dateiversion
 von 'Comsvcs.dll': ENU 2001.12.4414.702 s
 
Error - 28.05.2011 12:37:04 | Computer Name = YOUR-8D652975E8 | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während 
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
 Wenden Sie sich an den Microsoft-Produktsuppor
 
Error - 28.05.2011 12:37:04 | Computer Name = YOUR-8D652975E8 | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x80040206.
 
Error - 28.05.2011 13:11:26 | Computer Name = YOUR-8D652975E8 | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
Error - 28.05.2011 13:11:29 | Computer Name = YOUR-8D652975E8 | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
[ System Events ]
Error - 29.05.2011 07:52:43 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 29.05.2011 07:57:06 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst stisvc.
 
Error - 29.05.2011 07:59:33 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%3
 
Error - 29.05.2011 07:59:38 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   SRTSP  SRTSPX
 
Error - 29.05.2011 08:22:51 | Computer Name = YOUR-8D652975E8 | Source = PlugPlayManager | ID = 12
Description = Das Gerät "Marvell Yukon 88E8040 PCI-E Fast Ethernet Controller" (PCI\VEN_11AB&DEV_4354&SUBSYS_361A103C&REV_00\4&23c6fc68&0&00E1)
 wurde ohne vorbereitende Maßnahmen vom System entfernt.
 
Error - 29.05.2011 11:48:34 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%3
 
Error - 29.05.2011 11:48:34 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AliIde  IntelIde  SRTSP  SRTSPX  ViaIde
 
Error - 29.05.2011 12:04:16 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%3
 
Error - 29.05.2011 12:04:27 | Computer Name = YOUR-8D652975E8 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   SRTSP  SRTSPX
 
Error - 29.05.2011 12:39:50 | Computer Name = YOUR-8D652975E8 | Source = PlugPlayManager | ID = 12
Description = Das Gerät "Marvell Yukon 88E8040 PCI-E Fast Ethernet Controller" (PCI\VEN_11AB&DEV_4354&SUBSYS_361A103C&REV_00\4&23c6fc68&0&00E1)
 wurde ohne vorbereitende Maßnahmen vom System entfernt.
 
 
< End of report >

4) Gmem liefert:

Code

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-05-29 22:18:41
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HS082HB rev.NL100-04
Running: 157qpjnh.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\fwrdyaob.sys


---- System - GMER 1.0.15 ----

SSDT            F7C7D446                                                                                                 ZwCreateKey
SSDT            F7C7D43C                                                                                                 ZwCreateThread
SSDT            F7C7D44B                                                                                                 ZwDeleteKey
SSDT            F7C7D455                                                                                                 ZwDeleteValueKey
SSDT            F7C7D45A                                                                                                 ZwLoadKey
SSDT            F7C7D428                                                                                                 ZwOpenProcess
SSDT            F7C7D42D                                                                                                 ZwOpenThread
SSDT            F7C7D464                                                                                                 ZwReplaceKey
SSDT            F7C7D45F                                                                                                 ZwRestoreKey
SSDT            F7C7D450                                                                                                 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

?               system32\drivers\xpsec.sys                                                                               Das System kann den angegebenen Pfad nicht finden. !
?               system32\drivers\xcpip.sys                                                                               Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[184] WS2_32.dll!closesocket                                 71A13E2B 5 Bytes  JMP 01419E0A 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[184] WS2_32.dll!send                                        71A14C27 5 Bytes  JMP 014199A7 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[184] WS2_32.dll!WSARecv                                     71A14CB5 5 Bytes  JMP 01419CBC 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[184] WS2_32.dll!recv                                        71A1676F 5 Bytes  JMP 01419A88 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[184] WS2_32.dll!WSASend                                     71A168FA 5 Bytes  JMP 01419B5B 
.text           C:\Programme\Java\jre6\bin\jqs.exe[412] WS2_32.dll!closesocket                                           71A13E2B 5 Bytes  JMP 01A69E0A 
.text           C:\Programme\Java\jre6\bin\jqs.exe[412] WS2_32.dll!send                                                  71A14C27 5 Bytes  JMP 01A699A7 
.text           C:\Programme\Java\jre6\bin\jqs.exe[412] WS2_32.dll!WSARecv                                               71A14CB5 5 Bytes  JMP 01A69CBC 
.text           C:\Programme\Java\jre6\bin\jqs.exe[412] WS2_32.dll!recv                                                  71A1676F 5 Bytes  JMP 01A69A88 
.text           C:\Programme\Java\jre6\bin\jqs.exe[412] WS2_32.dll!WSASend                                               71A168FA 5 Bytes  JMP 01A69B5B 
.text           C:\WINDOWS\System32\alg.exe[788] WS2_32.dll!closesocket                                                  71A13E2B 5 Bytes  JMP 00EA9E0A 
.text           C:\WINDOWS\System32\alg.exe[788] WS2_32.dll!send                                                         71A14C27 5 Bytes  JMP 00EA99A7 
.text           C:\WINDOWS\System32\alg.exe[788] WS2_32.dll!WSARecv                                                      71A14CB5 5 Bytes  JMP 00EA9CBC 
.text           C:\WINDOWS\System32\alg.exe[788] WS2_32.dll!recv                                                         71A1676F 5 Bytes  JMP 00EA9A88 
.text           C:\WINDOWS\System32\alg.exe[788] WS2_32.dll!WSASend                                                      71A168FA 5 Bytes  JMP 00EA9B5B 
.text           C:\WINDOWS\system32\winlogon.exe[892] Secur32.dll!LsaLogonUser                                           77FC33F1 5 Bytes  JMP 01222946 
.text           C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe[1268] ws2_32.dll!closesocket               71A13E2B 5 Bytes  JMP 01E19E0A 
.text           C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe[1268] ws2_32.dll!send                      71A14C27 5 Bytes  JMP 01E199A7 
.text           C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe[1268] ws2_32.dll!WSARecv                   71A14CB5 5 Bytes  JMP 01E19CBC 
.text           C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe[1268] ws2_32.dll!recv                      71A1676F 5 Bytes  JMP 01E19A88 
.text           C:\Programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe[1268] ws2_32.dll!WSASend                   71A168FA 5 Bytes  JMP 01E19B5B 
.text           C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE[1604] WS2_32.dll!closesocket                                   71A13E2B 5 Bytes  JMP 01739E0A 
.text           C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE[1604] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 017399A7 
.text           C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE[1604] WS2_32.dll!WSARecv                                       71A14CB5 5 Bytes  JMP 01739CBC 
.text           C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE[1604] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 01739A88 
.text           C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE[1604] WS2_32.dll!WSASend                                       71A168FA 5 Bytes  JMP 01739B5B 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[1748] WS2_32.dll!closesocket            71A13E2B 5 Bytes  JMP 03509E0A 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[1748] WS2_32.dll!send                   71A14C27 5 Bytes  JMP 035099A7 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[1748] WS2_32.dll!WSARecv                71A14CB5 5 Bytes  JMP 03509CBC 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[1748] WS2_32.dll!recv                   71A1676F 5 Bytes  JMP 03509A88 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[1748] WS2_32.dll!WSASend                71A168FA 5 Bytes  JMP 03509B5B 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2140] WS2_32.dll!closesocket                                       71A13E2B 5 Bytes  JMP 00F19E0A 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2140] WS2_32.dll!send                                              71A14C27 5 Bytes  JMP 00F199A7 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2140] WS2_32.dll!WSARecv                                           71A14CB5 5 Bytes  JMP 00F19CBC 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2140] WS2_32.dll!recv                                              71A1676F 5 Bytes  JMP 00F19A88 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2140] WS2_32.dll!WSASend                                           71A168FA 5 Bytes  JMP 00F19B5B 
.text           C:\WINDOWS\Explorer.EXE[2620] USER32.dll!DisplayExitWindowsWarnings                                      7E3A9F91 5 Bytes  JMP 01B42758 
.text           C:\WINDOWS\Explorer.EXE[2620] WS2_32.dll!closesocket                                                     71A13E2B 5 Bytes  JMP 018E9E0A 
.text           C:\WINDOWS\Explorer.EXE[2620] WS2_32.dll!send                                                            71A14C27 5 Bytes  JMP 018E99A7 
.text           C:\WINDOWS\Explorer.EXE[2620] WS2_32.dll!WSARecv                                                         71A14CB5 5 Bytes  JMP 018E9CBC 
.text           C:\WINDOWS\Explorer.EXE[2620] WS2_32.dll!recv                                                            71A1676F 5 Bytes  JMP 018E9A88 
.text           C:\WINDOWS\Explorer.EXE[2620] WS2_32.dll!WSASend                                                         71A168FA 5 Bytes  JMP 018E9B5B 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2920] WS2_32.dll!closesocket                                       71A13E2B 5 Bytes  JMP 00D19E0A 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2920] WS2_32.dll!send                                              71A14C27 5 Bytes  JMP 00D199A7 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2920] WS2_32.dll!WSARecv                                           71A14CB5 5 Bytes  JMP 00D19CBC 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2920] WS2_32.dll!recv                                              71A1676F 5 Bytes  JMP 00D19A88 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2920] WS2_32.dll!WSASend                                           71A168FA 5 Bytes  JMP 00D19B5B 
.text           C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe[3156] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 00EF9E0A 
.text           C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe[3156] WS2_32.dll!send                                 71A14C27 5 Bytes  JMP 00EF99A7 
.text           C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe[3156] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 00EF9CBC 
.text           C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe[3156] WS2_32.dll!recv                                 71A1676F 5 Bytes  JMP 00EF9A88 
.text           C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe[3156] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 00EF9B5B 
.text           C:\WINDOWS\system32\igfxtray.exe[3296] WS2_32.dll!closesocket                                            71A13E2B 5 Bytes  JMP 00E79E0A 
.text           C:\WINDOWS\system32\igfxtray.exe[3296] WS2_32.dll!send                                                   71A14C27 5 Bytes  JMP 00E799A7 
.text           C:\WINDOWS\system32\igfxtray.exe[3296] WS2_32.dll!WSARecv                                                71A14CB5 5 Bytes  JMP 00E79CBC 
.text           C:\WINDOWS\system32\igfxtray.exe[3296] WS2_32.dll!recv                                                   71A1676F 5 Bytes  JMP 00E79A88 
.text           C:\WINDOWS\system32\igfxtray.exe[3296] WS2_32.dll!WSASend                                                71A168FA 5 Bytes  JMP 00E79B5B 
.text           C:\WINDOWS\system32\hkcmd.exe[3308] WS2_32.dll!closesocket                                               71A13E2B 5 Bytes  JMP 00E79E0A 
.text           C:\WINDOWS\system32\hkcmd.exe[3308] WS2_32.dll!send                                                      71A14C27 5 Bytes  JMP 00E799A7 
.text           C:\WINDOWS\system32\hkcmd.exe[3308] WS2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 00E79CBC 
.text           C:\WINDOWS\system32\hkcmd.exe[3308] WS2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 00E79A88 
.text           C:\WINDOWS\system32\hkcmd.exe[3308] WS2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 00E79B5B 
.text           C:\WINDOWS\system32\igfxpers.exe[3324] WS2_32.dll!closesocket                                            71A13E2B 5 Bytes  JMP 00E19E0A 
.text           C:\WINDOWS\system32\igfxpers.exe[3324] WS2_32.dll!send                                                   71A14C27 5 Bytes  JMP 00E199A7 
.text           C:\WINDOWS\system32\igfxpers.exe[3324] WS2_32.dll!WSARecv                                                71A14CB5 5 Bytes  JMP 00E19CBC 
.text           C:\WINDOWS\system32\igfxpers.exe[3324] WS2_32.dll!recv                                                   71A1676F 5 Bytes  JMP 00E19A88 
.text           C:\WINDOWS\system32\igfxpers.exe[3324] WS2_32.dll!WSASend                                                71A168FA 5 Bytes  JMP 00E19B5B 
.text           C:\WINDOWS\system32\igfxsrvc.exe[3344] WS2_32.dll!closesocket                                            71A13E2B 5 Bytes  JMP 00EB9E0A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[3344] WS2_32.dll!send                                                   71A14C27 5 Bytes  JMP 00EB99A7 
.text           C:\WINDOWS\system32\igfxsrvc.exe[3344] WS2_32.dll!WSARecv                                                71A14CB5 5 Bytes  JMP 00EB9CBC 
.text           C:\WINDOWS\system32\igfxsrvc.exe[3344] WS2_32.dll!recv                                                   71A1676F 5 Bytes  JMP 00EB9A88 
.text           C:\WINDOWS\system32\igfxsrvc.exe[3344] WS2_32.dll!WSASend                                                71A168FA 5 Bytes  JMP 00EB9B5B 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3364] WS2_32.dll!closesocket                                   71A13E2B 5 Bytes  JMP 01209E0A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3364] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 012099A7 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3364] WS2_32.dll!WSARecv                                       71A14CB5 5 Bytes  JMP 01209CBC 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3364] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 01209A88 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3364] WS2_32.dll!WSASend                                       71A168FA 5 Bytes  JMP 01209B5B 
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3372] WS2_32.dll!closesocket                71A13E2B 5 Bytes  JMP 00D59E0A 
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3372] WS2_32.dll!send                       71A14C27 5 Bytes  JMP 00D599A7 
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3372] WS2_32.dll!WSARecv                    71A14CB5 5 Bytes  JMP 00D59CBC 
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3372] WS2_32.dll!recv                       71A1676F 5 Bytes  JMP 00D59A88 
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3372] WS2_32.dll!WSASend                    71A168FA 5 Bytes  JMP 00D59B5B 
.text           C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[3388] WS2_32.dll!closesocket             71A13E2B 5 Bytes  JMP 00DE9E0A 
.text           C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[3388] WS2_32.dll!send                    71A14C27 5 Bytes  JMP 00DE99A7 
.text           C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[3388] WS2_32.dll!WSARecv                 71A14CB5 5 Bytes  JMP 00DE9CBC 
.text           C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[3388] WS2_32.dll!recv                    71A1676F 5 Bytes  JMP 00DE9A88 
.text           C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[3388] WS2_32.dll!WSASend                 71A168FA 5 Bytes  JMP 00DE9B5B 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe[3412] ws2_32.dll!closesocket         71A13E2B 5 Bytes  JMP 04829E0A 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe[3412] ws2_32.dll!send                71A14C27 5 Bytes  JMP 048299A7 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe[3412] ws2_32.dll!WSARecv             71A14CB5 5 Bytes  JMP 04829CBC 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe[3412] ws2_32.dll!recv                71A1676F 5 Bytes  JMP 04829A88 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe[3412] ws2_32.dll!WSASend             71A168FA 5 Bytes  JMP 04829B5B 
.text           C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe[3656] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 01AF9E0A 
.text           C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe[3656] WS2_32.dll!send                                 71A14C27 5 Bytes  JMP 01AF99A7 
.text           C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe[3656] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 01AF9CBC 
.text           C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe[3656] WS2_32.dll!recv                                 71A1676F 5 Bytes  JMP 01AF9A88 
.text           C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe[3656] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 01AF9B5B 
.text           C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe[3864] WS2_32.dll!closesocket                            71A13E2B 5 Bytes  JMP 00C99E0A 
.text           C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe[3864] WS2_32.dll!send                                   71A14C27 5 Bytes  JMP 00C999A7 
.text           C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe[3864] WS2_32.dll!WSARecv                                71A14CB5 5 Bytes  JMP 00C99CBC 
.text           C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe[3864] WS2_32.dll!recv                                   71A1676F 5 Bytes  JMP 00C99A88 
.text           C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe[3864] WS2_32.dll!WSASend                                71A168FA 5 Bytes  JMP 00C99B5B 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                                  [F7820FE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                                  [F7820FE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]               [10002330] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!FreeLibrary]                [10001A80] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!FreeLibraryAndExitThread]   [10001000] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!FreeLibrary]               [10001A80] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]              [10002330] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!FreeLibraryAndExitThread]  [10001000] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!FreeLibrary]              [10001A80] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)
IAT             C:\WINDOWS\Explorer.EXE[2620] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA]             [10002330] C:\WINDOWS\system32\PGPmapih.dll (PGP MAPI Hook DLL/PGP Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                   PGPfsfd.sys (PGP FSFD/PGP Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                  wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                  wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                   SaibIa32.sys (Disk Filter Driver/Sonic Solutions)

---- Threads - GMER 1.0.15 ----

Thread          System [4:3404]                                                                                          958C141E

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                    sector 00: rootkit-like behavior
Disk            \Device\Harddisk0\DR0                                                                                    malicious Win32:MBRoot code @ sector 156280323
Disk            \Device\Harddisk0\DR0                                                                                    PE file @ sector 156280345
Disk            \Device\Harddisk0\DR0                                                                                    MBRoot/Sinowal@MBR code has been found                                            <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

#3 Danke schonmal für die Hilfe. Hier das logfile von combofix:

Code

ComboFix 11-05-29.01 - ***** 30.05.2011   9:33.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.387 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\*****\Eigene Dateien\regbackup.reg
.
c:\windows\system32\drivers\ntfs.sys . . . ist infiziert!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-28 bis 2011-05-30  ))))))))))))))))))))))))))))))
.
.
2011-05-30 07:28 . 2011-05-30 07:29    --------    d-----w-    C:\Combo-Fix
2011-05-29 15:29 . 2011-05-29 15:29    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2011-05-29 15:29 . 2011-05-29 15:29    --------    d-----w-    c:\dokumente und einstellungen\*****\Anwendungsdaten\AVS4YOU
2011-05-29 15:28 . 2011-05-29 15:28    --------    d-----w-    c:\programme\Gemeinsame Dateien\AVSMedia
2011-05-29 15:27 . 2011-05-29 15:47    --------    d-----w-    c:\windows\SxsCaPendDel
2011-05-29 15:24 . 2009-06-30 14:32    24576    ----a-w-    c:\windows\system32\msxml3a.dll
2011-05-29 15:24 . 2011-05-29 15:28    --------    d-----w-    c:\programme\AVS4YOU
2011-05-29 13:32 . 2011-05-29 13:32    --------    d-----w-    c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2011-05-29 13:32 . 2010-12-20 16:09    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 13:32 . 2011-05-29 13:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-29 13:32 . 2010-12-20 16:08    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-05-29 13:32 . 2011-05-29 13:32    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-21 15:46 . 2010-08-01 11:17    137656    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2011-03-07 05:33    692736    ----a-w-    c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2011-04-15 15:12    420864    ------w-    c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2011-03-03 13:53    1858048    ----a-w-    c:\windows\system32\win32k.sys
2011-04-14 16:40 . 2011-05-29 12:04    142296    ----a-w-    c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlayHandlerAccessible]
@="{3DBF5F01-3287-46EB-82CF-45AA5C241162}"
[HKEY_CLASSES_ROOT\CLSID\{3DBF5F01-3287-46EB-82CF-45AA5C241162}]
2008-05-21 08:35    380472    ----a-w-    c:\windows\system32\PGPfsshl.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-12-04 1410344]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"hpWirelessAssistant"="c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-07-03 2328576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\PGPmapih.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PGPtray.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PGPtray.exe.lnk
backup=c:\windows\pss\PGPtray.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38    34672    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\coreworks]
2009-02-13 18:17    780776    ----a-w-    c:\programme\HPQ\HP Connection Manager 2\bin\gbxApp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
.
R0 pgpfs;PGP File Sharing;c:\windows\system32\drivers\PGPfsfd.sys [21.05.2008 10:35 115768]
R0 SahdIa32;HDD Filter Driver;c:\windows\system32\drivers\SahdIa32.sys [17.03.2009 02:51 21488]
R0 SaibIa32;Volume Filter Driver;c:\windows\system32\drivers\SaibIa32.sys [17.03.2009 02:51 15856]
R0 SysCow;SysCow;c:\windows\system32\drivers\syscow32x.sys [24.09.2008 23:09 103792]
R1 SaibVd32;Virtual Disk Driver;c:\windows\system32\drivers\SaibVd32.sys [17.03.2009 02:51 25584]
R2 9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269;Roxio SAIB Service;c:\programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe [11.12.2008 23:46 125424]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.08.2010 13:17 136360]
R2 BOTService;BOTService;c:\programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe [25.12.2008 19:28 203248]
R2 mdvauthsrv;HP Connectivity Authentication Service;c:\programme\HPQ\HP Connection Manager 2\bin\mdvauthsrv.exe [13.02.2009 20:17 399848]
R2 mdvsrv;HP Connection Manager Service;c:\programme\HPQ\HP Connection Manager 2\bin\mdvsrv.exe [13.02.2009 20:17 281064]
R2 QDLService;Qualcomm Gobi Download Service;c:\qualcomm\QDLService\QDLService.exe [14.01.2009 16:56 345336]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [03.07.2009 11:40 9216]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S2 Norton Internet Security;Norton Internet Security;"c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys --> c:\windows\system32\drivers\AESTAud.sys [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
S3 QCFilterhp;HP USB Composite Device Filter Driver;c:\windows\system32\drivers\qcfilterhp.sys [17.03.2009 02:58 5248]
S3 qcusbnethp;HP USB-NDIS miniport;c:\windows\system32\drivers\qcusbnethp.sys [17.03.2009 02:58 115200]
S3 qcusbserhp;HP USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbserhp.sys [17.03.2009 02:58 104448]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - BMLoad
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-30 c:\windows\Tasks\BackOnTrack Instant Restore Idle.job
- c:\programme\Roxio\BackOnTrack\Instant Restore\RstIdle.exe [2008-12-25 17:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: &AOL Toolbar-Suche - c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL\ieToolbar\resources\de-DE\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\windows\system32\PGPlsp.dll
LSP: bmnet.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\acf9e3pc.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-IDTSysTrayApp - sttray.exe
HKLM-Run-AESTFltr - c:\windows\system32\AESTFltr.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-30 09:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"=""c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040A10900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(952)
c:\windows\system32\bmnet.dll
.
- - - - - - - > 'explorer.exe'(2480)
c:\windows\system32\PGPfsshl.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PGPserv.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\programme\Hewlett-Packard\Shared\HpqToaster.exe
c:\programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-30  09:52:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-30 07:52
.
Vor Suchlauf: 16 Verzeichnis(se), 65.735.409.664 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 66.016.608.256 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 6651ACD71130869BCABB68761142CA78

#4 Schritt 1

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code

SRPeek::
c:\windows\system32\drivers\ntfs.sys

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt 2

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
ntfs.sys

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

#5 danke für weitere HIlfe.
hier die ergebnisse - was soll ich weiterhin tun???

Combofix

Code

ComboFix 11-06-04.02 - ***** 04.06.2011  12:08:09.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.579 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\*****\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-04 bis 2011-06-04  ))))))))))))))))))))))))))))))
.
.
2011-05-30 07:28 . 2011-05-30 07:29    --------    d-----w-    C:\Combo-Fix
2011-05-29 15:29 . 2011-05-29 15:29    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2011-05-29 15:29 . 2011-05-29 15:29    --------    d-----w-    c:\dokumente und einstellungen\*****\Anwendungsdaten\AVS4YOU
2011-05-29 15:28 . 2011-05-29 15:28    --------    d-----w-    c:\programme\Gemeinsame Dateien\AVSMedia
2011-05-29 15:27 . 2011-05-29 15:47    --------    d-----w-    c:\windows\SxsCaPendDel
2011-05-29 15:24 . 2009-06-30 14:32    24576    ----a-w-    c:\windows\system32\msxml3a.dll
2011-05-29 15:24 . 2011-05-29 15:28    --------    d-----w-    c:\programme\AVS4YOU
2011-05-29 13:32 . 2011-05-29 13:32    --------    d-----w-    c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2011-05-29 13:32 . 2010-12-20 16:09    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 13:32 . 2011-05-29 13:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-29 13:32 . 2010-12-20 16:08    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-05-29 13:32 . 2011-05-29 13:32    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-21 15:46 . 2010-08-01 11:17    137656    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2011-03-07 05:33    692736    ----a-w-    c:\windows\system32\inetcomm.dll
2011-04-14 16:40 . 2011-05-29 12:04    142296    ----a-w-    c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((((((((   SR_Search   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlayHandlerAccessible]
@="{3DBF5F01-3287-46EB-82CF-45AA5C241162}"
[HKEY_CLASSES_ROOT\CLSID\{3DBF5F01-3287-46EB-82CF-45AA5C241162}]
2008-05-21 08:35    380472    ----a-w-    c:\windows\system32\PGPfsshl.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-12-04 1410344]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"hpWirelessAssistant"="c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-07-03 2328576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\PGPmapih.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PGPtray.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PGPtray.exe.lnk
backup=c:\windows\pss\PGPtray.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38    34672    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\coreworks]
2009-02-13 18:17    780776    ----a-w-    c:\programme\HPQ\HP Connection Manager 2\bin\gbxApp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
.
R0 pgpfs;PGP File Sharing;c:\windows\system32\drivers\PGPfsfd.sys [21.05.2008 10:35 115768]
R0 SahdIa32;HDD Filter Driver;c:\windows\system32\drivers\SahdIa32.sys [17.03.2009 02:51 21488]
R0 SaibIa32;Volume Filter Driver;c:\windows\system32\drivers\SaibIa32.sys [17.03.2009 02:51 15856]
R0 SysCow;SysCow;c:\windows\system32\drivers\syscow32x.sys [24.09.2008 23:09 103792]
R1 SaibVd32;Virtual Disk Driver;c:\windows\system32\drivers\SaibVd32.sys [17.03.2009 02:51 25584]
R2 9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269;Roxio SAIB Service;c:\programme\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe [11.12.2008 23:46 125424]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.08.2010 13:17 136360]
R2 BOTService;BOTService;c:\programme\Roxio\BackOnTrack\Instant Restore\BOTService.exe [25.12.2008 19:28 203248]
R2 mdvauthsrv;HP Connectivity Authentication Service;c:\programme\HPQ\HP Connection Manager 2\bin\mdvauthsrv.exe [13.02.2009 20:17 399848]
R2 mdvsrv;HP Connection Manager Service;c:\programme\HPQ\HP Connection Manager 2\bin\mdvsrv.exe [13.02.2009 20:17 281064]
R2 QDLService;Qualcomm Gobi Download Service;c:\qualcomm\QDLService\QDLService.exe [14.01.2009 16:56 345336]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [03.07.2009 11:40 9216]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S2 Norton Internet Security;Norton Internet Security;"c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys --> c:\windows\system32\drivers\AESTAud.sys [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
S3 QCFilterhp;HP USB Composite Device Filter Driver;c:\windows\system32\drivers\qcfilterhp.sys [17.03.2009 02:58 5248]
S3 qcusbnethp;HP USB-NDIS miniport;c:\windows\system32\drivers\qcusbnethp.sys [17.03.2009 02:58 115200]
S3 qcusbserhp;HP USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbserhp.sys [17.03.2009 02:58 104448]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - BMLoad
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-04 c:\windows\Tasks\BackOnTrack Instant Restore Idle.job
- c:\programme\Roxio\BackOnTrack\Instant Restore\RstIdle.exe [2008-12-25 17:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: &AOL Toolbar-Suche - c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL\ieToolbar\resources\de-DE\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\windows\system32\PGPlsp.dll
LSP: bmnet.dll
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\acf9e3pc.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-04 12:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"=""c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040A10900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(768)
c:\windows\system32\bmnet.dll
.
- - - - - - - > 'explorer.exe'(1696)
c:\windows\system32\PGPfsshl.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-06-04  12:20:28
ComboFix-quarantined-files.txt  2011-06-04 10:20
ComboFix2.txt  2011-05-30 07:52
.
Vor Suchlauf: 23 Verzeichnis(se), 65.866.678.272 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 65.860.026.368 Bytes frei
.
- - End Of File - - 91BAEE3D482D840BD9133F2364F92E63

Systemlook

Code

SystemLook 04.09.10 by jpshortstuff
Log created at 12:22 on 04/06/2011 by *****
Administrator - Elevation successful

========== filefind ==========

Searching for "ntfs.sys"
C:\cmdcons\NTFS.SYS    --a---- 574592 bytes    [21:15 03/08/2004]    [21:15 03/08/2004] B78BE402C3F63DD55521F73876951CDD
C:\I386\NTFS.SYS    --a---- 574976 bytes    [20:00 14/04/2008]    [20:00 14/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA
C:\System Rollback Data\Restore\Current\27250\24\Attrib\WINDOWS\system32\drivers\ntfs.sys    --a--c- 0 bytes    [04:00 15/04/2008]    [04:00 15/04/2008] D41D8CD98F00B204E9800998ECF8427E
C:\System Rollback Data\Restore\Current\27250\26\Attrib\WINDOWS\ERDNT\cache\ntfs.sys    --a---- 0 bytes    [07:50 30/05/2011]    [04:00 15/04/2008] D41D8CD98F00B204E9800998ECF8427E
C:\WINDOWS\ERDNT\cache\ntfs.sys    --a---- 574976 bytes    [07:50 30/05/2011]    [04:00 15/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA
C:\WINDOWS\system32\drivers\ntfs.sys    --a---- 574976 bytes    [04:00 15/04/2008]    [04:00 15/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA

-= EOF =-

#6 Wie läufts?

#7 danke. also es hat sich bisschen was getan. ich kann jetzt wieder halbwegs normal den browser bedienen z.b das google-fenster im firefox oder so. allerdings hängt sich firefox als auch i-explorer nach 1-2 minuten oft auf. eine re-installation von firefox habe ich schon gemacht. könnte da noch was im hintergrund laufen?

#8 Schritt 1

Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
Mache während dem Scan nichts am Rechner

• Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
• Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.

• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Bebilderte Anleitung zur Benutzung von TDSSKiller.

Schritt 2

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
• Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes