Sie sind nicht angemeldet.

1

19.08.2010, 15:59

Undefinierter Bereich auf Festplatte

Auf meiner Festplatte wächst bedrohlich Tag für Tag ein Datenbereich, an den ich nicht rankomme. Keines von den üblichen Programmen kann ihn mir darstellen. Antivir oder Norton zählen Unmassen von Dateien durch und stellen keine Probleme fest. Also jetzt auf euren Tip habe ich HijackThis durchlaufen lassen.
Hier das Ergebnis. Vielleicht hat jemand eine Idee. Ich wäre dankbar.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:36:53, on 19.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Uniblue\RegistryBooster\rbmonitor.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acronis\DiskDirector\OSS\reinstall_svc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Health\hddhealth.exe
C:\Programme\Uniblue\RegistryBooster\registrybooster.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\user\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!) ?SearchSource=10&ctid=CT2319825
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
R3 - URLSearchHook: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
O3 - Toolbar: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
O23 - Service: Acronis OS Selector Activator (OS Selector) - Unknown owner - C:\Programme\Acronis\DiskDirector\OSS\reinstall_svc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8295 bytes

haggy

Schüler

Beiträge: 94

Rechnerkonfiguration: i5 2500k, 120GB OCZ Agility3, MSI GTX560ti, ASUS P8z68 MB, 8GB RAM und einige alte Festplatten die ich noch gefunden habe ;-)

  • Nachricht senden

2

20.08.2010, 09:24

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166

führt mich auf wenig vertrauenserweckende Seiten..

Der Server steht, soweit ich das richtig erkannt habe, in der Ukraine. Also diese Einträge sollten schonmal raus, sofern du nichts mit denen zu tun hast.
Deutet auch auf einen Viren- / Trojanerbefall oder ähnliches hin für mich.

Allerdings ist das Log ansonsten für mich erstmal unauffällig.

Versuch dennoch noch zusätzlich mal einen anderen Virenscanner (dein Norton muss dabei aber bitte ausgeschaltet werden, für die Dauer des Scans!)
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)

GehirnAntiVirus

unregistriert

3

20.08.2010, 11:26

Auf meiner Festplatte wächst bedrohlich Tag für Tag ein Datenbereich, an den ich nicht rankomme. Keines von den üblichen Programmen kann ihn mir darstellen. Antivir oder Norton zählen Unmassen von Dateien durch und stellen keine Probleme fest. Also jetzt auf euren Tip habe ich HijackThis durchlaufen lassen.
Hier das Ergebnis. Vielleicht hat jemand eine Idee. Ich wäre dankbar.


Hi,

sieht nach Spambot aus. Scanne bitte mal mit combofix. Erst mit CCleaner alle Temp.dateien löschen:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)

Danach beende alle Programme, deaktiviere den Wächter von deinem Antivirenprogramm/en und führe Combofox ganz genau wie hier beschrieben aus:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
nichts anklicken oder machen am PC, solange combofix den PC scannt.
Poste das log dann hier und ich kann mehr sagen.

grüsse
GAV

4

20.08.2010, 23:20

Undefinierter Bereich

Hallo Helfer,
CCleaner + Combifix war da und hier ist das Ergebnis:

ComboFix 10-08-19.02 - user 20.08.2010 22:33:10.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.666 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SEC
c:\windows\SEC\CLEANUPFOLDER.INI
c:\windows\SEC\CONFIGSYS.EXE
c:\windows\SEC\INSTALL.EXE
c:\windows\SEC\INSTALL.INI
c:\windows\SEC\JRE150.EXE
c:\windows\SEC\MP10GER.EXE
c:\windows\system32\test.dll

.
((((((((((((((((((((((( Dateien erstellt von 2010-07-20 bis 2010-08-20 ))))))))))))))))))))))))))))))
.

2010-08-20 20:16 . 2010-08-20 20:21 -------- d-----r- C:\32788R22FWJFW
2010-08-20 19:24 . 2010-08-20 19:24 -------- d-----w- c:\programme\CCleaner
2010-08-20 09:41 . 2010-08-20 09:41 125624 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-08-20 09:41 . 2010-08-20 09:41 113336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-08-20 09:41 . 2010-08-20 09:41 404152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-08-20 09:41 . 2010-08-20 09:41 166584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-08-20 09:37 . 2010-08-20 09:37 129720 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-08-20 09:37 . 2010-08-20 09:37 113336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-08-20 09:37 . 2010-08-20 09:37 404152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-08-20 09:37 . 2010-08-20 09:37 170680 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-08-20 09:11 . 2010-08-20 09:12 283984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-08-20 08:46 . 2010-08-20 09:40 113933 ----a-w- c:\windows\system32\drivers\klin.dat
2010-08-20 08:46 . 2010-08-20 09:40 97549 ----a-w- c:\windows\system32\drivers\klick.dat
2010-08-20 08:44 . 2010-08-20 08:44 -------- d-----w- c:\programme\Kaspersky Lab
2010-08-20 08:44 . 2010-08-20 20:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-20 08:39 . 2010-08-20 08:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-08-19 22:01 . 2010-08-19 22:01 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Tific
2010-08-19 21:13 . 2010-08-19 21:13 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
2010-08-19 21:12 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-19 21:12 . 2010-08-19 21:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-19 21:12 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-19 21:12 . 2010-08-19 21:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-18 20:28 . 2010-08-18 20:41 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\FreshDiagnose
2010-08-18 20:27 . 2010-08-18 20:27 -------- d-----w- c:\programme\FreshDevices
2010-08-18 20:26 . 2010-08-18 20:26 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-18 20:26 . 2010-08-20 08:28 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Winload
2010-08-18 20:26 . 2010-08-18 20:26 -------- d-----w- c:\programme\Conduit
2010-08-18 20:26 . 2010-08-18 20:26 -------- d-----w- c:\programme\Winload
2010-08-18 19:50 . 2010-08-18 19:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\UserInfoTip
2010-08-18 19:50 . 2010-08-18 19:50 -------- d-----w- c:\programme\AksLab
2010-08-18 19:47 . 2010-08-18 21:39 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Q-Dir
2010-08-18 08:36 . 2008-09-25 15:35 181120 ----a-w- c:\windows\system32\drivers\ext2fs.sys
2010-08-18 08:36 . 2008-08-28 20:45 51072 ----a-w- c:\windows\system32\drivers\ifsmount.sys
2010-08-18 08:36 . 2008-07-26 21:56 210432 ----a-w- c:\windows\system32\ifsdrives.dll
2010-08-18 08:18 . 2010-08-18 08:18 -------- d-----w- c:\programme\HDD Health
2010-08-18 07:55 . 2010-08-18 08:06 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Auslogics
2010-08-18 07:43 . 2010-08-18 07:43 -------- d--h--w- c:\windows\PIF
2010-08-18 07:43 . 2010-08-18 19:51 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-18 07:42 . 2010-08-18 07:42 -------- d-----w- c:\programme\Auslogics
2010-08-18 07:16 . 2010-08-18 07:16 -------- d-----w- c:\programme\MeinPlatz
2010-08-18 06:57 . 2010-08-18 06:57 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Uniblue
2010-08-18 06:57 . 2010-08-18 06:57 -------- d-----w- c:\programme\Uniblue
2010-08-17 15:01 . 2010-08-17 15:01 170080 ----a-w- c:\windows\system32\drivers\snapman.sys
2010-08-17 15:00 . 2010-08-17 15:00 -------- d-----w- c:\programme\Acronis
2010-08-17 14:59 . 2010-08-17 15:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2010-08-17 14:13 . 2010-08-17 14:29 -------- d-----w- c:\programme\WinDirStatPortable
2010-08-17 11:05 . 2010-08-18 19:55 -------- d-----w- c:\windows\system32\drivers\NIS
2010-08-17 11:05 . 2010-08-17 11:05 -------- d-----w- c:\programme\Windows Sidebar
2010-08-17 11:04 . 2010-08-20 08:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-08-17 11:03 . 2010-08-20 08:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-08-16 15:07 . 2010-08-16 15:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Crowns Cup

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-20 20:42 . 2006-11-12 21:47 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-08-20 09:54 . 2010-06-28 17:47 283984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-08-20 08:55 . 2007-01-14 16:46 -------- d-----w- c:\programme\iTunes
2010-08-20 08:06 . 2004-08-04 12:00 545532 ----a-w- c:\windows\system32\perfh007.dat
2010-08-20 08:06 . 2004-08-04 12:00 115742 ----a-w- c:\windows\system32\perfc007.dat
2010-08-19 21:58 . 2006-04-30 06:33 63576 ----a-w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-19 11:43 . 2006-04-24 15:51 -------- d-----w- c:\programme\ltmoh
2010-08-17 10:52 . 2006-10-03 14:18 -------- d---a-w- c:\programme\Rad.RoutenPlaner. 2.0
2010-08-16 09:19 . 2006-05-13 08:56 -------- d-----w- c:\programme\StarOffice7
2010-08-16 08:51 . 2009-11-27 10:24 -------- d-----w- c:\programme\OFFICE11
2010-07-25 10:31 . 2006-05-05 21:02 -------- d-----w- c:\programme\CyberLink
2010-07-25 10:31 . 2006-04-24 15:46 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-21 17:51 . 2006-12-19 23:20 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Audacity
2010-07-01 19:35 . 2010-07-01 19:35 228024 ----a-w- c:\windows\system32\klogon.dll
2010-07-01 19:14 . 2010-07-01 19:14 68256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2011 11.0.1.400\German\setup.exe
2010-07-01 06:06 . 2010-07-01 06:06 1037648 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-30 05:06 . 2010-06-30 05:06 271696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-06-24 12:15 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-19 02:15 . 2010-06-19 02:15 152576 ------w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-06-18 23:54 . 2006-04-24 13:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-06-17 14:03 . 2004-08-04 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2006-04-24 13:29 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-04 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2010-06-09 15:43 . 2010-06-09 15:43 11352 ----a-w- c:\windows\system32\drivers\kl2.sys
2010-06-09 15:43 . 2010-06-09 15:43 132184 ----a-w- c:\windows\system32\drivers\kl1.sys
2010-06-03 02:41 . 2010-06-03 02:41 3600384 ----a-w- c:\windows\system32\GPhotos.scr
2008-03-17 09:50 . 2008-03-17 09:50 59163944 ------w- c:\programme\iTunes.lnk
2007-03-18 08:41 . 2007-03-18 08:41 430 ----a-w- c:\programme\Verknüpfung mit MSN.lnk
2007-01-04 11:32 . 2007-01-04 11:32 486 ----a-w- c:\programme\Verknüpfung mit DiMAGE Viewer.lnk
2006-12-19 23:14 . 2006-12-19 23:05 2823446 ------w- c:\programme\audacity-win-unicode-1.3.2.exe
2006-11-12 21:45 . 2006-11-12 21:44 6331904 ----a-w- c:\programme\Thunderbird-Install.exe
2006-05-13 10:18 . 2006-05-13 10:18 476 ----a-w- c:\programme\Verknüpfung mit StarOffice7.lnk
2003-06-01 05:00 . 2006-05-13 09:03 7055 ----a-w- c:\programme\readme.html
2003-06-01 05:00 . 2006-05-13 09:03 7024 ----a-w- c:\programme\readme.txt
2003-06-01 05:00 . 2006-05-13 09:03 4842 ----a-w- c:\programme\license.html
2003-06-01 05:00 . 2006-05-13 09:03 4483 -c--a-w- c:\programme\license.txt
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\programme\Winload\tbWinl.dll" [2010-03-17 2355224]

[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
2010-03-17 13:45 2355224 ----a-w- c:\programme\Winload\tbWinl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\programme\Winload\tbWinl.dll" [2010-03-17 2355224]

[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0UserInfoTip]
@="{7C150640-44FB-4BCE-9D48-45C49FB3560E}"
[HKEY_CLASSES_ROOT\CLSID\{7C150640-44FB-4BCE-9D48-45C49FB3560E}]
2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1UserInfoTip]
@="{7C150641-44FB-4BCE-9D48-45C49FB3560E}"
[HKEY_CLASSES_ROOT\CLSID\{7C150641-44FB-4BCE-9D48-45C49FB3560E}]
2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2UserInfoTip]
@="{7C150642-44FB-4BCE-9D48-45C49FB3560E}"
[HKEY_CLASSES_ROOT\CLSID\{7C150642-44FB-4BCE-9D48-45C49FB3560E}]
2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3UserInfoTip]
@="{7C150643-44FB-4BCE-9D48-45C49FB3560E}"
[HKEY_CLASSES_ROOT\CLSID\{7C150643-44FB-4BCE-9D48-45C49FB3560E}]
2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4UserInfoTip]
@="{7C150644-44FB-4BCE-9D48-45C49FB3560E}"
[HKEY_CLASSES_ROOT\CLSID\{7C150644-44FB-4BCE-9D48-45C49FB3560E}]
2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5UserInfoTip]
@="{7C150645-44FB-4BCE-9D48-45C49FB3560E}"
[HKEY_CLASSES_ROOT\CLSID\{7C150645-44FB-4BCE-9D48-45C49FB3560E}]
2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryBooster"="c:\programme\Uniblue\RegistryBooster\launcher.exe" [2010-07-13 67448]
"HDDHealth"="c:\programme\HDD Health\hddhealth.exe" [2008-04-12 1687552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-22 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-22 126976]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 1388544]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-05 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-05 688218]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 88361]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2004-08-17 184320]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-10-25 282624]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-03-16 32768]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-07-01 357096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-4 110592]
Mozilla Thunderbird.lnk - c:\programme\Mozilla Thunderbird\thunderbird.exe [2006-11-12 8319560]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\ChannelEditor\\CinergyDvrChannelEditor.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [24.04.2006 17:51 54912]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [18.08.2010 10:36 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [18.08.2010 10:36 51072]
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 17:43 11352]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [19.07.2009 13:00 95592]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [25.04.2006 08:32 4300]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.09.2009 14:34 61440]
R2 OS Selector;Acronis OS Selector Activator;c:\programme\Acronis\DiskDirector\OSS\reinstall_svc.exe [25.05.2010 19:53 2155848]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.04.2006 10:33 37568]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 12:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
S3 AVerAF15;AVerMedia BDA Digital Tuner;c:\windows\system32\drivers\AVerAF15.sys [15.06.2008 17:04 269056]
S3 el575nd5;3Com Megahertz 10/100-LAN-CardBus-PC-Kartentreiber;c:\windows\system32\drivers\el575ND5.sys [25.04.2006 11:22 69692]
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;c:\windows\system32\drivers\fpcmbase.sys [25.04.2006 10:33 441728]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [02.09.2009 14:34 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [02.09.2009 14:34 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [02.09.2009 14:33 17536]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.07.2009 13:00 721904]
.
Inhalt des "geplante Tasks" Ordners

2010-07-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]

2010-08-20 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2010-08-18 05:45]

2010-08-20 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-06-20 20:18]
.
.

Mehr passt nicht auf diese Seite - der zweite Teil folgt.
In der Zwischenzeit ist der undefinierte Bereich bis zur Schmerzgrenze gewachsen. Weiß schon nicht mehr was ich auslagern soll.
Aber ich bin mit eurer Hilfe guter Hoffnung.

5

20.08.2010, 23:25

Undefinierter Bereich

Hallo,
hier folgt Teil 2 des log.txt von Combifix (ich denke an Handwerker mit Rohrzange).


------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
uDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://alice.aol.de
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\2aobccj8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2319825&SearchSource=13
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-AVStation premium - c:\programme\Samsung\AVStation premium\bin\AVStation agent.exe
AddRemove-Microsoft .NET Framework 2.0 - c:\windows\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
AddRemove-Microsoft .NET Framework 3.0 - c:\windows\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
AddRemove-ToolBox - c:\programme\NCH Swift Sound\ToolBox\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, (Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
Rootkit scan 2010-08-20 22:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2436)
c:\programme\AksLab\UserInfoTip\utinfo_23.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Uniblue\RegistryBooster\registrybooster.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-20 22:50:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-20 20:50

Vor Suchlauf: 584.740.864 Bytes frei
Nach Suchlauf: 1.233.432.576 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 90D0F5FF1B00FEA895404F186329B8F0olgt Teil 2 des log.txt von combifix:

GehirnAntiVirus

unregistriert

6

21.08.2010, 00:01

Guten Abend :-)

Bei dir ist Malware aktiv ja. Speichere mal deine wichtigsten Daten auf einem Wechselmedium (USB Sticks etc) wir werden nämlich hier etwas "hart ran gehen".

Wie heisst der Bereich, wo sich alle die Daten ansammeln? Berichte mal soviel darüber wie möglich, damit ich mir ein Bild machen kann.
Seit wann besteht das Problem?

7

21.08.2010, 18:11

Hallo GAV,

über den Bereich, wo sich der Datenwust versteckt hat, lässt sich nach dem Combifix-Lauf endlich sagen, dass das ein restore-Bereich in der System Volume Information ist. 47 GB bei einer Festplatte von 75 GB. Vorher stand im WinDir Stat-Bericht nur <unbekannt>. Ich weiß nicht mehr genau, wann das angefangen hatte. Irgendwann, ich glaube ungefähr im Mai oder Juni war die Festplatte voll und die entsprechende Meldung kam für mich überraschend. Mitte Juni ist dann, vermutlich bei einem Virenlöschversuch mit Avira, das ganze System abgestürzt und ließ sich nicht mehr hochfahren. Ein Bekannter hat dann in den Registries geforscht und das Ganze mit einer alten Registry wieder zum Laufen gebracht. Seitdem stehen 4 restore- Einträge in der System Volume Information. Der betreffende restore-Bereich hat nach dem Explorer aber nur 3,5 GB.
Reicht das fürs Erste?
Vielen Dank schon mal.

GehirnAntiVirus

unregistriert

8

21.08.2010, 18:20

Hallo GAV,
Reicht das fürs Erste?
Vielen Dank schon mal.


Ja. System Restore ist ein automatischer Windows Dienst zur Wiederherstellung des Systems. Das hört sich bei dir aber nicht normal an.

Bitte poste ein OTL Log:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
Deiner Antwort als Textanhang anhängen, oder direkt reinposten.

Führe bitte auch das durch:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!) (Metode 1) = Systemwiederherstellung auf allen Laufwerken deaktivieren

Schalte danach den PC aus. Warte 1.min und schalte ihn wieder an. Aktiviere die Windows Systemwiederherstellung wieder und erstelle dann einen neuen Wiederherstellungspunkt.

9

21.08.2010, 21:33

Hallo GAV,
habe alles gemacht, hat ja ein bisschen gedauert. Das Systemwiederherstellungsmenu hat mir gesagt, dass den Restore-File löschen kann um Platz zu bekommen.
Habe ich aber nicht gemacht.
Hier also die OTL-Logs:
»bachstelz« hat folgende Dateien angehängt:
  • OTL.Txt (77,35 kB - 2 mal heruntergeladen - zuletzt: 22.09.2011, 10:54)
  • Extras.Txt (39,78 kB - 2 mal heruntergeladen - zuletzt: 22.09.2011, 10:57)

GehirnAntiVirus

unregistriert

10

21.08.2010, 21:48

Warum hast du es nicht gemacht? Die Systemwiederherstellung speichert alle Daten in sogenannten "Systemwiederherstellungspunkten" ab. Irgendwann ist es dann voll und muss gelehrt werden. Da Malware bei dir aktiv war und sich ebenfalls im "System Restore" abgespeichert hat, solltest du unbedingt die gesamten Systemwiederherstellungspunkte leeren, so wie ich es beschrieben habe.

Bei dir waren Trojaner und Backdoor Malware aktiv, ist es zum Teil immer noch, du solltest dich also entweder an meine Anweisungen halten oder das Betriebssystem von Grund auf neu aufsetzen.

Zu deinem Verständnis:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)

grüsse
GAV

11

21.08.2010, 22:41

Vielen Dank

Hallo GehirnAntiVirus,
ich habe jetzt per Hand alle Restore-Bereiche gelöscht und einen neuen Systemwiederherstellungspunkt gesetzt. Die Festplatte ist wieder frei. Als Skeptiker warte ich morgen noch ab, aber soweit, wie ich das Problem jetzt verstehe, sieht es gut aus. Bin beeindruckt, wie du mich durch das Schlamassel geführt hast.
Vielen Dank :imsohappy:

GehirnAntiVirus

unregistriert

12

21.08.2010, 23:51

Hallo GehirnAntiVirus,
ich habe jetzt per Hand alle Restore-Bereiche gelöscht und einen neuen Systemwiederherstellungspunkt gesetzt. Die Festplatte ist wieder frei. Als Skeptiker warte ich morgen noch ab, aber soweit, wie ich das Problem jetzt verstehe, sieht es gut aus. Bin beeindruckt, wie du mich durch das Schlamassel geführt hast.


Wie schon gesagt, das Problem ist damit noch lange nicht beseitigt.
Auf deinem System lief über längere Zeit aktive Malware/Schadprogramme. Nachdem ich mir die OTL Logs angeschaut habe kann ich sagen, dass bei dir ein sogenannter Backdoor aktiv ist:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
Jemand hat also vollen Zugriff auf dein System.
Sicherheitseinstellungen sind bei dir manipuliert worden, das Sicherheitscenter deaktiviert etc.

Ich rate dir deswegen dringend den PC neuaufzusetzen!
Anleitungen:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)

Wenn du das nicht möchtest sollten wir den PC weiter bereinigen. Das ist ein Prozess, der 1-2 Tage dauern kann und aus mehreren Scans und Bereinigungsvorgängen besteht.
In dem jetzigen Zustand ist dieser PC für Online Geschäfte nicht geeignet und deine Daten nicht sicher.

Dazu wichtige Info:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)

grüsse
GAV

13

22.08.2010, 18:43

Hallo GAV,
ich habe mir einige Hinweise durchgelesen und das hat mir die Angst vor einem Neuaufspielen des Systems genommen. Scheint mir jetzt wirklich der sinnvollste Schritt zu sein und ein klarer Schnitt. Vielen Dank noch mal für deine Hilfe.
Gruß von bachstelz

GehirnAntiVirus

unregistriert

14

22.08.2010, 21:55

Hallo GAV,
ich habe mir einige Hinweise durchgelesen und das hat mir die Angst vor einem Neuaufspielen des Systems genommen. Scheint mir jetzt wirklich der sinnvollste Schritt zu sein und ein klarer Schnitt. Vielen Dank noch mal für deine Hilfe.
Gruß von bachstelz


Sehr vernünftig. :ok:

Bedenke:
Daten/Wechselmedien/USB Sticks etc... die du gerettet hast können die Infektion enthalten. Gehe so vor:

> Nachdem du neuaufgesetzt hast spiele alle Windows Updates ein und installiere ein Antivirenprogramm auf dem neusten Stand.
> Dann deaktiviere die Autorun Funktion von dem Computer mit diesem Tool:
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)
Danach deaktiviere die Autorun Funktion der Wechselmedien.
> Erst wenn das geschehen ist steckte die Wechselmedien an den Computer und scanne sie mit 2-4 Antimalware/antiviren Programmen auf Schädlinge. Wenn sie geprüft worden sind kannst du sie ohne Sorge, den Computer erneut zu infizieren, auf den Computer übertragen.


> Ändere alle deine Passwörter wenn der PC neuaufgesetzt wurde.

Bleibe Malware/Virus frei in der Zukunft!
(Dieser Begriff wurde für Gäste und nicht aktivierte Benutzer ausgeblendet. Um ihn doch lesen zu können sollten Sie sich registrieren!)

grüsse
GAV

Zurzeit ist neben Ihnen 1 Benutzer in diesem Thema unterwegs:

1 Besucher

Bookmark and Share