Trojan.Vundo Malwarebytes

Hallo,

Malwarebytes hat bei mir Trojan.Vundo entdeckt:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1707
Windows 5.1.2600 Service Pack 3

30.01.2009 13:36:35
mbam-log-2009-01-30 (13-36-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 165712
Laufzeit: 25 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Als einziges Problem kann ich bisher nur das Öffnen von Werbebanners feststellen, obwohl der Popup Blocker von Mozilla aktiviert ist.

RSIT Log:

info.txt logfile of random's system information tool 1.05 2009-01-21 18:12:28

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1&1 EasyLogin-->E:\Programme\1&1\1&1 EasyLogin\Uninstall.exe
Acronis True Image Home-->MsiExec.exe /X{633A06C3-B709-479A-AAB3-5EE94AD9EE4B}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 7.0-->C:\WINDOWS\ISUN0407.EXE -f"E:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"E:\Programme\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
ASUS Enhanced Display Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}\setup.exe" -l0x7 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Canon iP3500 series Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP3500 series\UNINST.EXE
Canon iP3500 series-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3500_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3500_series /L0x0007
CDBurnerXP-->"D:\Programme\CDBurnerXP\unins000.exe"
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2 deutsch-->"D:\Programme\DVD Shrink DE\unins000.exe"
ElsterFormular 2006/2007-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}\setup.exe" -l0x7 -removeonly
ElsterFormular 2007/2008-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly
Far Cry-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}
High Definition Audio Driver Package - KB888111-->C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe
HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"D:\Programme\Trend Micro\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.3)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
nLite 1.4.9.1-->"D:\Programme\nLite\unins000.exe"
NVIDIA Drivers-->C:\WINDOWS\system32\nvunrm.exe UninstallGUI
PDFCreator-->D:\Programme\PDFCreator\unins000.exe
PIXMA Extended Survey Program-->C:\Programme\Canon\IJPLM\SETUP.EXE -R
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
PRICOM-Print CX-->C:\WINDOWS\JCNETDEL.EXE -fdeljcnet.ini
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly
SpeedSim-->D:\Programme\Trend Micro\SpeedSim\uninst.exe
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_87B606860B720724BEB5DCEB69E8628A61DE0A7E\amdk8.inf
WinRAR archiver-->E:\Programme\WinRAR\uninstall.exe
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe

=====HijackThis Backups=====

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
R3 - URLSearchHook: (no name) - - (no file)

======Security center information======

AV: Avira AntiVir PersonalEdition

System event log

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568558
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568557
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568556
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568555
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568554
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Application event log

Computer Name: MASTER
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 433
Source Name: H+BEDV AntiVir
Time Written: 20070807104025.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MASTER
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 432
Source Name: SecurityCenter
Time Written: 20070807062101.000000+120
Event Type: Informationen
User:

Computer Name: MASTER
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 431
Source Name: H+BEDV AntiVir
Time Written: 20070807062051.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MASTER
Event Code: 4097
Message: Die Anwendung "E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe" hat einen Programmfehler verursacht.
Datum und Zeit des Fehlers: 06.08.2007 um 13:04:03.781
Ausnahme: c0000005 an Adresse 015F24FB (AcroRd32!PDDocSetXAPMetadata)

Record Number: 430
Source Name: DrWatson
Time Written: 20070806130403.000000+120
Event Type: Informationen
User:

Computer Name: MASTER
Event Code: 1000
Message: Fehlgeschlagene Anwendung acrord32.exe, Version 8.1.0.137, fehlgeschlagenes Modul acrord32.dll, Version 8.1.0.137, Fehleradresse 0x005124fb.

Record Number: 429
Source Name: Application Error
Time Written: 20070806130402.000000+120
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 1, AuthenticAMD
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=6b01
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%

-----------------EOF-----------------

Das Panda Antirootkit hat nichts gefunden, Search & Destroy meldet einige Verlaufsfolgende Cookies und einen Registryeintrag.

Bisher habe ich nichts weiter unternommen.

Hoffe der Post ist so richtig und vielen Dank für die Hilfe,

Joschagah

 

ein Teil des rsit logs Fehlt (der mit HJT)

lasse Malwarebytes das Problem beheben, weiter Anweisungen folgen, wenn ich das Log sehe

 

Logfile of random's system information tool 1.05 (written by random/random)
Run by Joscha at 2009-01-30 16:12:50
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 1 GB (14%) free of 10 GB
Total RAM: 3071 MB (85% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:52, on 30.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
D:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\Trend Micro\RSIT.exe
D:\Programme\Trend Micro\HijackThis\Joscha.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\TRENDM~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] ;"C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\TRENDM~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\TRENDM~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1215200019859
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Imapi Helper - Alex Feinman - D:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4762 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - D:\PROGRA~1\TRENDM~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-05-17 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-05-17 13529088]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"Acronis Scheduler2 Service"=;C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe []
"MSConfig"=C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE [2008-04-14 172544]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
;D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMax]
;C:\Programme\Analog Devices\SoundMAX\smax4.exe /tray []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
;C:\Programme\Analog Devices\Core\smax4pnp.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
D:\Programme\Trend Micro\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
;D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SNCRFKGVA"=3
"TryAndDecideService"=2
"AcrSch2Svc"=2
"wuauserv"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"D:\Programme\Warcraft III\Warcraft III.exe"="D:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4 Warlords"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Pitboss"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword Pitboss"
"C:\WINDOWS\system32\dxdiag.exe"="C:\WINDOWS\system32\dxdiag.exe:*:Enabled:Microsoft DirectX-Diagnoseprogramm"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server"
"D:\Programme\Valve\hl.exe"="D:\Programme\Valve\hl.exe:*:Enabled:Half-Life Launcher"
"E:\Eigene Dateien\TMP\Blizzard Launcher Temporary - 8fd2bda8\Launcher.exe"="E:\Eigene Dateien\TMP\Blizzard Launcher Temporary - 8fd2bda8\Launcher.exe:*:Enabled:Blizzard Launcher"
"D:\Programme\Sun\xVM VirtualBox\VirtualBox.exe"="D:\Programme\Sun\xVM VirtualBox\VirtualBox.exe:*:Enabled:VirtualBox"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-01-30 10:30:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-29 10:58:38 ----A---- C:\WINDOWS\system32\VBoxNetFltNotify.dll
2009-01-24 13:26:30 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-01-24 13:26:30 ----A---- C:\WINDOWS\system32\d3dx10_40.dll
2009-01-24 13:26:30 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll
2009-01-24 13:26:29 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-01-24 13:26:29 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-01-24 13:26:29 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-01-24 13:26:29 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-01-24 13:26:29 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-01-24 13:26:29 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-01-24 13:26:28 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-01-24 13:26:28 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-01-24 13:26:28 ----A---- C:\WINDOWS\system32\d3dx10_39.dll
2009-01-24 13:26:28 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-01-24 13:26:27 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-01-24 13:26:26 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-01-24 13:26:26 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-01-24 13:26:26 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-01-24 13:26:26 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-01-24 13:26:25 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-01-24 13:26:25 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-01-24 13:26:25 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-01-24 13:26:25 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-01-24 13:26:25 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-01-24 13:26:24 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-01-24 13:26:24 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-01-24 13:26:23 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-01-24 13:26:23 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-01-24 13:26:23 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-01-24 13:09:27 ----D---- C:\WINDOWS\Logs
2009-01-24 12:34:52 ----D---- C:\WINDOWS\nview
2009-01-24 12:34:33 ----A---- C:\WINDOWS\system32\nwiz.exe
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwssr.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwss.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrszht.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrszhc.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrstr.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsth.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrssv.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrssl.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrssk.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsru.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsptb.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrspt.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrspl.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsno.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsnl.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsko.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsja.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsit.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrshu.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrshe.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsfr.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsfi.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsesm.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrses.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrseng.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsel.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsde.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsda.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrscs.dll
2009-01-24 12:34:32 ----A---- C:\WINDOWS\system32\nvwrsar.dll
2009-01-24 12:34:31 ----A---- C:\WINDOWS\system32\nvwimg.dll
2009-01-24 12:34:31 ----A---- C:\WINDOWS\system32\nvwdmcpl.dll
2009-01-24 12:34:31 ----A---- C:\WINDOWS\system32\nvwddi.dll
2009-01-24 12:34:31 ----A---- C:\WINDOWS\system32\nvsvc32.exe
2009-01-24 12:34:31 ----A---- C:\WINDOWS\system32\nvshell.dll
2009-01-24 12:34:30 ----A---- C:\WINDOWS\system32\nvoglnt.dll
2009-01-24 12:34:30 ----A---- C:\WINDOWS\system32\nvnt4cpl.dll
2009-01-24 12:34:28 ----A---- C:\WINDOWS\system32\nvmccsrs.dll
2009-01-24 12:34:28 ----A---- C:\WINDOWS\system32\nvmccs.dll
2009-01-24 12:34:28 ----A---- C:\WINDOWS\system32\nview.dll
2009-01-24 12:34:28 ----A---- C:\WINDOWS\system32\nvexpbar.dll
2009-01-24 12:34:28 ----A---- C:\WINDOWS\system32\nvdspsch.exe
2009-01-24 12:34:24 ----A---- C:\WINDOWS\system32\nvcuda.dll
2009-01-24 12:34:24 ----A---- C:\WINDOWS\system32\nvcpluir.dll
2009-01-24 12:34:24 ----A---- C:\WINDOWS\system32\nvcplui.exe
2009-01-24 12:34:22 ----A---- C:\WINDOWS\system32\nvvitvsr.dll
2009-01-24 12:34:22 ----A---- C:\WINDOWS\system32\nvcodins.dll
2009-01-24 12:34:22 ----A---- C:\WINDOWS\system32\nvcod.dll
2009-01-24 12:34:22 ----A---- C:\WINDOWS\system32\nvappbar.exe
2009-01-24 12:34:22 ----A---- C:\WINDOWS\system32\nvapi.dll
2009-01-24 12:34:21 ----A---- C:\WINDOWS\system32\nvvitvs.dll
2009-01-24 12:34:21 ----A---- C:\WINDOWS\system32\nvmoblsr.dll
2009-01-24 12:34:21 ----A---- C:\WINDOWS\system32\nvmobls.dll
2009-01-24 12:34:20 ----A---- C:\WINDOWS\system32\nvmccssr.dll
2009-01-24 12:34:20 ----A---- C:\WINDOWS\system32\nvmccss.dll
2009-01-24 12:34:20 ----A---- C:\WINDOWS\system32\nvgamesr.dll
2009-01-24 12:34:20 ----A---- C:\WINDOWS\system32\nvgames.dll
2009-01-24 12:34:19 ----A---- C:\WINDOWS\system32\nvdispsr.dll
2009-01-24 12:34:19 ----A---- C:\WINDOWS\system32\nvdisps.dll
2009-01-24 12:34:16 ----A---- C:\WINDOWS\system32\nvmctray.dll
2009-01-24 12:34:16 ----A---- C:\WINDOWS\system32\keystone.exe
2009-01-24 12:34:15 ----A---- C:\WINDOWS\system32\nvcpl.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrszht.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrszhc.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrstr.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsth.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrssv.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrssl.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrssk.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsru.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsptb.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrspt.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrspl.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsno.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsnl.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsko.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsja.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsit.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrshu.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrshe.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsfr.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsfi.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsesm.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrses.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrseng.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsel.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsde.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsda.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrscs.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvrsar.dll
2009-01-24 12:34:14 ----A---- C:\WINDOWS\system32\nvcolor.exe
2009-01-22 11:55:34 ----D---- C:\Dokumente und Einstellungen\Joscha\Anwendungsdaten\Acronis
2009-01-22 11:13:43 ----HD---- C:\WINDOWS\PIF
2009-01-21 20:19:55 ----D---- C:\WINDOWS\pss
2009-01-21 18:27:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard
2009-01-21 18:12:19 ----D---- C:\rsit
2009-01-21 13:24:50 ----A---- C:\WINDOWS\system32\write.exe
2009-01-21 13:24:44 ----A---- C:\WINDOWS\system32\getuname.dll
2009-01-21 13:24:43 ----A---- C:\WINDOWS\system32\charmap.exe
2009-01-21 13:24:43 ----A---- C:\WINDOWS\system32\calc.exe
2009-01-21 12:54:18 ----D---- C:\Dokumente und Einstellungen\Joscha\Anwendungsdaten\Canneverbe_Limited
2009-01-21 12:49:15 ----RSD---- C:\WINDOWS\assembly
2009-01-21 12:48:45 ----D---- C:\WINDOWS\Microsoft.NET
2009-01-21 11:35:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
2009-01-21 11:35:32 ----D---- C:\Programme\Gemeinsame Dateien\Acronis
2009-01-18 18:12:07 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-01-18 18:10:52 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-01-18 18:10:48 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-01-18 18:10:25 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-01-18 18:10:21 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-01-18 18:10:18 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-01-18 18:10:15 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-01-18 18:10:09 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$

======List of files/folders modified in the last 1 months======

2009-01-30 16:08:53 ----RSH---- C:\boot.ini
2009-01-30 16:08:53 ----A---- C:\WINDOWS\win.ini
2009-01-30 16:08:53 ----A---- C:\WINDOWS\system.ini
2009-01-30 15:36:44 ----D---- C:\WINDOWS\TEMP
2009-01-30 15:12:15 ----D---- C:\WINDOWS\Prefetch
2009-01-30 14:21:49 ----D---- C:\WINDOWS\system32\drivers
2009-01-30 14:15:12 ----SHD---- C:\RECYCLER
2009-01-30 14:14:59 ----SHD---- C:\WINDOWS\Installer
2009-01-30 14:14:45 ----D---- C:\Dokumente und Einstellungen
2009-01-30 14:14:33 ----D---- C:\WINDOWS
2009-01-30 14:13:59 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-01-30 12:39:05 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-01-30 12:39:03 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-29 15:37:34 ----D---- C:\WINDOWS\system32\CatRoot2
2009-01-29 11:14:34 ----SD---- C:\Dokumente und Einstellungen\Joscha\Anwendungsdaten\Microsoft
2009-01-29 10:58:41 ----HD---- C:\WINDOWS\inf
2009-01-29 10:58:41 ----D---- C:\WINDOWS\system32
2009-01-29 10:58:38 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-01-29 09:51:24 ----D---- C:\Temp
2009-01-27 14:18:34 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-01-26 10:04:30 ----HD---- C:\Programme\InstallShield Installation Information
2009-01-25 15:54:49 ----SD---- C:\WINDOWS\Tasks
2009-01-25 14:39:54 ----RD---- C:\Programme
2009-01-25 12:05:23 ----D---- C:\WINDOWS\system32\NtmsData
2009-01-24 13:26:30 ----D---- C:\WINDOWS\system32\DirectX
2009-01-24 12:34:55 ----D---- C:\WINDOWS\Help
2009-01-24 11:29:38 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-01-22 12:30:30 ----D---- C:\Programme\DivX
2009-01-22 11:11:01 ----D---- C:\WINDOWS\system32\Restore
2009-01-21 22:06:20 ----D---- C:\WINDOWS\security
2009-01-21 13:24:57 ----A---- C:\WINDOWS\imsins.BAK
2009-01-21 13:24:49 ----D---- C:\WINDOWS\Cursors
2009-01-21 12:49:16 ----D---- C:\WINDOWS\WinSxS
2009-01-21 12:48:49 ----D---- C:\WINDOWS\system32\mui
2009-01-21 12:48:49 ----D---- C:\Programme\Internet Explorer
2009-01-21 11:45:46 ----D---- C:\Dokumente und Einstellungen\Joscha\Anwendungsdaten\teamspeak2
2009-01-21 11:35:32 ----D---- C:\Programme\Gemeinsame Dateien
2009-01-18 19:52:24 ----D---- C:\WINDOWS\system32\wbem
2009-01-18 18:11:14 ----HD---- C:\WINDOWS\$hf_mig$
2009-01-18 17:24:14 ----D---- C:\WINDOWS\system32\CatRoot
2009-01-09 17:35:30 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43520]
R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2006-10-18 12664]
R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-01-18 75072]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-05-02 21248]
R1 VBoxDrv;VirtualBox Service; C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2008-12-17 100368]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver; C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2008-12-17 41680]
R2 EIO;EIO; \??\C:\WINDOWS\system32\drivers\EIO.sys []
R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-01-21 44384]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2007-01-16 293888]
R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2006-08-06 93952]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-05-17 6557408]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-07-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-07-11 20480]
R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 VBoxNetFlt;VBoxNetFlt Service; C:\WINDOWS\system32\DRIVERS\VBoxNetFlt.sys [2008-12-17 81360]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 LHidUsbK;Logitech SetPoint USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsbK.Sys []
S3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys []
S3 LUsbKbd;Logitech SetPoint USB Filter Driver; C:\WINDOWS\system32\drivers\LUsbKbd.sys []
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-30 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-30 151297]
R2 IJPLMSVC;PIXMA Extended Survey Program; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 101528]
R2 NMSAccessU;NMSAccessU; D:\Programme\CDBurnerXP\NMSAccessU.exe [2008-10-20 71096]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-05-17 159812]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 Imapi Helper;Imapi Helper; D:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe [2006-01-05 163840]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2008-04-09 431384]
S4 NBService;NBService; E:\Programme\Nero 7\Nero BackItUp\NBService.exe []
S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe []
S4 TryAndDecideService;Acronis Try And Decide Service; C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2008-04-09 492896]

-----------------EOF-----------------

Ok, ich hoffe das die andere Hälfte hier dabei ist. Soll ich ansonsten ein gesondertes Log mit HJt erstellen?

Und bevor ich das Problem mit Malwarebytes behebe in den abgesicherten Modus wechseln, stimmts?

 

ja mbam bitte aus dem abgesicherten Modus ausführen

nein HJT ist nicht notwendig- ist bei rsit integriert... ich melde mich wenn ich die Logs und ne Anleitung für dich habe

 

bitte führe combofix wie beschrieben aus, poste anschliessend das log...
http://virus-protect.org/artikel/tools/combofix.html

 

Nach Combofix:

ComboFix 09-01-21.04 - Joscha 2009-01-30 17:40:20.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3071.2715 [GMT 1:00]
ausgeführt von:: e:\eigene dateien\Downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-30 ))))))))))))))))))))))))))))))
.

2009-01-30 14:16 . 2009-01-30 14:21 <DIR> d-------- c:\dokumente und einstellungen\Joscha\Pavark
2009-01-30 14:14 . 2007-07-06 17:52 <DIR> d--h----- c:\dokumente und einstellungen\Internet\Vorlagen
2009-01-30 14:14 . 2007-07-06 18:47 <DIR> dr------- c:\dokumente und einstellungen\Internet\Startmenü
2009-01-30 14:14 . 2007-07-06 18:47 <DIR> d--h----- c:\dokumente und einstellungen\Internet\Netzwerkumgebung
2009-01-30 14:14 . 2009-01-30 17:40 <DIR> d--h----- c:\dokumente und einstellungen\Internet\Lokale Einstellungen
2009-01-30 14:14 . 2009-01-30 14:15 <DIR> dr------- c:\dokumente und einstellungen\Internet\Favoriten
2009-01-30 14:14 . 2009-01-30 14:14 <DIR> dr------- c:\dokumente und einstellungen\Internet\Eigene Dateien
2009-01-30 14:14 . 2007-07-06 18:47 <DIR> d--h----- c:\dokumente und einstellungen\Internet\Druckumgebung
2009-01-30 14:14 . 2009-01-30 14:14 <DIR> dr-h----- c:\dokumente und einstellungen\Internet\Anwendungsdaten
2009-01-30 14:14 . 2009-01-30 14:14 <DIR> d-------- c:\dokumente und einstellungen\Internet
2009-01-30 11:05 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-30 10:30 . 2009-01-30 17:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-29 10:58 . 2009-01-29 11:01 <DIR> d-------- c:\dokumente und einstellungen\Joscha\.VirtualBox
2009-01-29 10:58 . 2008-12-17 10:57 129,552 --a------ c:\windows\system32\VBoxNetFltNotify.dll
2009-01-29 10:58 . 2008-12-17 10:56 100,368 --a------ c:\windows\system32\drivers\VBoxDrv.sys
2009-01-29 10:58 . 2008-12-17 10:56 81,360 --a------ c:\windows\system32\drivers\VBoxNetFlt.sys
2009-01-29 10:58 . 2008-12-17 10:56 41,680 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys
2009-01-24 13:09 . 2009-01-24 13:09 <DIR> d-------- c:\windows\Logs
2009-01-22 11:55 . 2009-01-25 11:54 <DIR> d-------- c:\dokumente und einstellungen\Joscha\Anwendungsdaten\Acronis
2009-01-22 11:13 . 2009-01-22 11:13 <DIR> d--h----- c:\windows\PIF
2009-01-21 18:27 . 2009-01-21 18:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-01-21 18:12 . 2009-01-21 18:12 <DIR> d-------- C:\rsit
2009-01-21 12:57 . 2009-01-21 12:57 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Acronis
2009-01-21 12:54 . 2009-01-21 12:54 <DIR> d-------- c:\dokumente und einstellungen\Joscha\Anwendungsdaten\Canneverbe_Limited
2009-01-21 11:35 . 2009-01-21 11:35 <DIR> d-------- c:\programme\Gemeinsame Dateien\Acronis
2009-01-21 11:35 . 2009-01-21 11:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Acronis
2009-01-21 11:35 . 2009-01-21 11:35 441,760 --a------ c:\windows\system32\drivers\timntr.sys
2009-01-21 11:35 . 2009-01-21 11:35 368,480 --a------ c:\windows\system32\drivers\tdrpman.sys
2009-01-21 11:35 . 2009-01-21 11:35 132,224 --a------ c:\windows\system32\drivers\snapman.sys
2009-01-21 11:35 . 2009-01-21 11:35 44,384 --a------ c:\windows\system32\drivers\tifsfilt.sys
2009-01-18 17:28 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-18 17:23 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 11:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-26 09:04 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-22 11:30 --------- d-----w c:\programme\DivX
2009-01-21 10:45 --------- d-----w c:\dokumente und einstellungen\Joscha\Anwendungsdaten\teamspeak2
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll
2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll
2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-10-01 17:00 24,064 ----a-w c:\windows\system32\ctfmon.exe
2008-07-05 07:52 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070520080706\index.dat
.

------- Sigcheck -------

2006-02-28 13:00 15360 7ce20569925df6789c31799f0c538f29 c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-10-01 18:00 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-10-01 18:00 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-17 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-17 13529088]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"nwiz"="nwiz.exe" [2008-05-17 c:\windows\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2008-04-09 20:14 136472 c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
--a------ 2008-04-09 20:23 909208 d:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMax]
--------- 2006-07-13 06:12 729088 c:\programme\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
-r------- 2006-12-18 14:34 868352 c:\programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2009-01-26 15:31 2144088 d:\programme\Trend Micro\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2008-04-09 20:11 2595792 d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SNCRFKGVA"=3 (0x3)
"AcrSch2Svc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Warcraft III\\Warcraft III.exe"=
"d:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"d:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"d:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"d:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"d:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Programme\\Sun\\xVM VirtualBox\\VirtualBox.exe"=

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [2009-01-29 100368]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2009-01-29 41680]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [2009-01-29 81360]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Joscha\Anwendungsdaten\Mozilla\Firefox\Profiles\c8qe6d1u.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - wildniswissen.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npjava11.dll
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npjava12.dll
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npjava13.dll
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npjava14.dll
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npjava32.dll
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
FF - plugin: d:\programme\Java\jre1.6.0_07\bin\npoji610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-30 17:40:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(980)
c:\windows\system32\relog_ap.dll
.
Zeit der Fertigstellung: 2009-01-30 17:41:11
ComboFix-quarantined-files.txt 2009-01-30 16:41:09
ComboFix2.txt 2008-07-04 09:53:13

Vor Suchlauf: 1.447.542.784 Bytes frei
Nach Suchlauf: 1,437,323,264 Bytes frei

165 --- E O F --- 2009-01-18 17:12:24

 

kommen die Pop Ups noch?


Start -> Ausführen-->
regedit eingeben

den Schlüssel bitte von 1 auf 0 ändern:

Code:

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

anschliessend lade dir die Testversion und mit höchster Einstellung scannen lassen: anschl. das Log posten
http://www.avira.com/de/produkte/testlizenz_2.html

 

Ok, bin noch am laden.

Derweil eine Frage:

Nachdem ich Deine und die anderen Stickies zum Thema Sicherheit
und die weiterführende Lektüre gelesen habe bin ich ziemlich demotiviert.
Ich bin nicht völlig computerahnungslos aber eben doch nur ein normaler
User. Ich lerne gerne dazu, aber ich habe einen normalen Beruf und einfach nicht die Zeit/Energie ein sicheres System ständig zu verwalten, Logs zu posten etc. pp.

Mir scheint es so als wenn ein routinemäßiges Neuaufsätzen weniger Arbeit macht, als die Schädlingsbekämpfung. Stimmt das?

Jetzt habe ich aber einen Knoten in meinen Überlegungen:

Wenn ich C:/ formatiere und Windows neuaufsätze ist das höchstwahrscheinlich sauber.

Aber was ist mit meinen Daten?
Die liegen auf einer anderen Partition. Die kann ich ja nicht neu aufspielen, bzw. meine Sicherungen müssen aktuell sein. Das bedeutet das, im Falle einer Infezierung auch die evtl. Schädlinge in den Daten mitgesichert (und dann auf das frische System wieder aufgespielt) werden, oder?

Wenn das so ist, ja was bleibt mir denn dann noch übrig

Wie kann ich sicher stellen, dass meine Datensicherung frei von Schädlingen ist?

 

also:
dein Denkansatz ist nicht falsch: eine 100%ige Sicherheit kann ich dir nicht bieten- aber 99%- und ich arbeite nicht allein an deinem Thread-

bei Combofix habe ich mir Hilfe geholt...

Aber: du hast schnell gehandelt, wodurch die Infektion im Rahmen gehalten wurde...
Wenn ich meinen würde, wir würden dein System nicht hinbekommen, hätte ich ein Neuaufsetzen empfohlen- da wir basteln... positiv denken

in erster Linie wird beim Neuaufsetzen die Systempartition behandelt- da sich Malware selten woanders einnistet....
Sprich die anderen Platten sind nicht so wichtig....

 

Ich empfehle eine umfassende Sicherungsstrategie, um das System auch bei einem Schädligsbefall sauber wieder herstellen zu können.

 

Hier das Avira Log:



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 30. Januar 2009 22:38

Es wird nach 1302306 Virenstämmen gesucht.

Lizenznehmer: Joscha Grolms
Seriennummer: 2201068881-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MASTER

Versionsinformationen:
BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 18:47:54
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 18:48:23
ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 18:48:23
Engineversion : 8.2.0.70
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 18:49:00
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 30.01.2009 18:48:58
AESCN.DLL : 8.1.1.6 127348 Bytes 30.01.2009 18:48:55
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 30.01.2009 18:48:53
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 30.01.2009 18:48:48
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 30.01.2009 18:48:46
AEHELP.DLL : 8.1.2.0 119159 Bytes 30.01.2009 18:48:31
AEGEN.DLL : 8.1.1.12 328053 Bytes 30.01.2009 18:48:30
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.3 176501 Bytes 30.01.2009 18:48:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 30. Januar 2009 22:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ijplmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\SoftwareDistribution\Download\6c751b0f5d786dfcf05c1d095d4a09ff\BIT1.tmp
[0] Archivtyp: CAB (Microsoft)
--> data1.hdr
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\CmdLineExt03.dll
[FUND] Ist das Trojanische Pferd TR/Agent.RL
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e78205.qua' verschoben!
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'F:\' <Auslagerungsdateien>
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 31. Januar 2009 00:07
Benötigte Zeit: 1:28:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8447 Verzeichnisse wurden überprüft
469046 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
469044 Dateien ohne Befall
29069 Archive wurden durchsucht
2 Warnungen
1 Hinweise

Pop Ups treten noch auf.

 

lasse bitte Avira nochmals scannen, diesmal aber mit Rootkitfunktion

anschliessend bitte folgendes ausführen:
http://virus-protect.org/cureit.html

log posten

 

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 31. Januar 2009 14:24

Es wird nach 1302306 Virenstämmen gesucht.

Lizenznehmer: Joscha Grolms
Seriennummer: 2201068881-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MASTER

Versionsinformationen:
BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 18:47:54
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 18:48:23
ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 18:48:23
Engineversion : 8.2.0.70
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 18:49:00
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 30.01.2009 18:48:58
AESCN.DLL : 8.1.1.6 127348 Bytes 30.01.2009 18:48:55
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 30.01.2009 18:48:53
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 30.01.2009 18:48:48
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 30.01.2009 18:48:46
AEHELP.DLL : 8.1.2.0 119159 Bytes 30.01.2009 18:48:31
AEGEN.DLL : 8.1.1.12 328053 Bytes 30.01.2009 18:48:30
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.3 176501 Bytes 30.01.2009 18:48:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Samstag, 31. Januar 2009 14:24

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41906' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ijplmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{834969F6-CDAF-420B-968C-C2D091BECDFB}\RP4\A0000217.dll
[FUND] Ist das Trojanische Pferd TR/Agent.RL
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b4520a.qua' verschoben!
C:\WINDOWS\SoftwareDistribution\Download\6c751b0f5d786dfcf05c1d095d4a09ff\BIT1.tmp
[0] Archivtyp: CAB (Microsoft)
--> data1.hdr
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'F:\' <Auslagerungsdateien>
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 31. Januar 2009 15:00
Benötigte Zeit: 36:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8458 Verzeichnisse wurden überprüft
469120 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
469118 Dateien ohne Befall
29072 Archive wurden durchsucht
2 Warnungen
1 Hinweise
41906 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

 

deaktiviere bitte mal deine Systemwiederherstelung:
http://www.bsi.de/av/texte/wiederher.htm

nach ein paar Sekunden wieder aktivieren


weiters führe wie im letzten Post beeschrieben Dr.Web aus

lade CCleaner- in Standardeinstellungen bereinigen lassen
http://www.ccleaner.de/

 

Hallo,

Ich dachte meine Systemwiederherstellung sei generell deaktiviert.
Zumindest hatte ich das unter "Arbeitsplatz" --> "Systemwiederherstellung" --> "auf allen Laufwerke deaktivieren" so eingerichtet. Soll ich da trotzdem was machen?

Das CureIt Log ist 54066 Kb groß. Es passt weder hier noch als Anhang.
Was soll ich tun?

 

cureit.log in cureit.txt ändern.

 

Es ist bereits eine *.txt

 

2519 Kb als *.rar

 

Ähm, hallo?

Wenn es was länger dauert bin ich gerne geduldig. Nur bitte gebt mir ein Zeichen, dass an dem Thread noch gearbeitet wird.

Die Funde von CureIt wurden bisher weder gepostet noch behoben.

Vielen Dank