Avira Support Forum

Hallo,
ich habe auf meinem Rechner per Avira die Datei TR/ATRAPS.Gen als Virus gefunden. Nach mehreren Suchläufen von Malwarebytes und Avira konnte ich die Datei TR/ATRAPS.Gen in Avira unter Quarantäne stellen, dort liegt sie noch mit 26 weiteren Objekten, die auch weitestgehend TR/ATRAPS.Gen heißen.

Bei weiteren Suchläufen durch Avira wird die Datei nicht mehr als Virus gefunden, lediglich noch ein verstecktes Objekt. Das System läuft soweit rund.

Kann mir bitte jemand schreiben, ob ich das System so laufen lassen kann oder ob noch weitere Gefahren drohen?


Betriebssystem:
MS Windows Vista Home Basic 32-bit SP2

Vielen Dank und beste Grüße
Marvin

Quoted from "westerfield"

Nach mehreren Suchläufen von Malwarebytes und Avira konnte ich die Datei TR/ATRAPS.Gen in Avira unter Quarantäne stellen, dort liegt sie noch mit 26 weiteren Objekten, die auch weitestgehend TR/ATRAPS.Gen heißen.

Alle Logfiles von Avira und Malwarbytes mit Funden hier posten.

Danke für die schnelle Antwort.

Der letzte Suchlauf mit Avira war am 1.5., wenn ich den Report auswählen will, kommt eine Meldung, dass die Log-Datei nicht gefunden werden kann. Ich habe nur noch die Daten, die ich unter Ereignisse finde, ich hoffe, das reicht, oder komme ich sonst irgendwie an die Log-Dateien?:

Die Datei 'C:\Windows\Temp\flD9BB.tmp\winupd.dat'
enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53bca3af.qua' verschoben!

Die Datei 'C:\Windows\Temp\fl5A8D.tmp\winupd.dat'
enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1974d6e0.qua' verschoben!

Die Datei 'C:\Windows\Temp\fl5C90.tmp\winupd.dat'
enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2b8c08.qua' verschoben!

In der Datei 'C:\Windows\System32\aptwypubs.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Windows\System32\aptwypubs.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '(null)' verschoben!

Die Datei 'C:\Windows\System32\aptwypubs.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\ServiceDll> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LanmanWorkstation\Parameters\ServiceDll> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\LanmanWorkstation\Parameters\ServiceDll> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei konnte nicht gelöscht werden!

In der Datei 'C:\Windows\System32\aptwypubs.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Windows\System32\aptwypubs.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Windows\System32\aptwypubs.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\ServiceDll> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LanmanWorkstation\Parameters\ServiceDll> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\LanmanWorkstation\Parameters\ServiceDll> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei konnte nicht gelöscht werden!

Und hier noch die Log-Datei von Malwarebytes:

--------
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.07

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Obsession :: JILLY [Administrator]

Schutz: Deaktiviert

30.04.2012 21:08:27
mbam-log-2012-04-30 (21-08-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 354466
Laufzeit: 1 Stunde(n), 31 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ToolBand.XTTBPos00 (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
------------

lade dir combofix, führe es auf dem Desktop aus
http://virus-protect.org/artikel/tools/combofix.html

Bitte beende vorher alle Anwendungen -auch den Browser
Die AviraGuard ebenfalls - Klick in den Schirm - nimm das Häkchen weg
Lass die Maus in Ruhe wenn CFix läuft !
Mache nichts nebenher !

Combo fix wird einges bereits in Quarantäne tun
und einen Reboot machen - das ist in deinem Fall normal !

Bitte post das log von Combofix .

Bitte genau an die Anleitung halten. Wenn das Logfile zu lang, dann aufsplitten.

Bitte unbedingt vor der Anwendung des Tools sämtliche Icons in der Taskleiste unten rechts schließen, im Taskmanager alle Programme bis auf die windowseigenen beenden, die Firewall deaktivieren und sämtliche Wächter von Schutzprogrammen deaktivieren. Die Verbindung zum Internet trennen.

Hallo Nighthawk,
ich habe combofix ausgeführt, wie beschrieben. Nachdem Reboot hat sich allerdings Livescan eingeschaltet und combofix als nicht vertrauenswürdig eingestuft, ich habe jeweils "vertrauenswürdiges Programm" ausgewählt und es weiterlaufen lassen.

Hier die Log-Datei:

ComboFix 12-05-02.03 - Obsession 03.05.2012 0:37.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.49.1031.18.1015.296 [GMT 2:00]
ausgeführt von:: c:\users\Obsession\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Obsession\Documents\~WRL0004.tmp
c:\users\Obsession\Documents\~WRL0834.tmp
c:\users\Obsession\Documents\~WRL2994.tmp
c:\users\Obsession\Documents\~WRL3010.tmp
c:\users\Obsession\Documents\~WRL3078.tmp
c:\users\Obsession\Documents\~WRL3450.tmp
c:\windows\lgcenter.ini
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Windows!System32!userinit.exe wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-04-02 bis 2012-05-02 ))))))))))))))))))))))))))))))
.
.
2012-05-02 22:49 . 2012-05-02 22:55 -------- d-----w- c:\users\Obsession\AppData\Local\temp
2012-05-02 22:49 . 2012-05-02 22:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-05-02 08:50 . 2012-05-02 08:50 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-05-02 08:50 . 2012-04-21 01:16 125880 ----a-w- c:\program files\Mozilla Firefox\crashreporter.exe
2012-05-02 08:50 . 2012-04-21 01:16 19384 ----a-w- c:\program files\Mozilla Firefox\AccessibleMarshal.dll
2012-05-01 17:44 . 2012-05-01 17:44 -------- d-----w- c:\program files\CCleaner
2012-05-01 00:58 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2012-05-01 00:58 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2012-05-01 00:57 . 2012-05-01 00:57 -------- d-----w- c:\program files\iPod
2012-05-01 00:56 . 2012-05-01 00:58 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2012-05-01 00:56 . 2012-05-01 00:58 -------- d-----w- c:\program files\iTunes
2012-05-01 00:50 . 2012-05-01 00:51 -------- d-----w- c:\program files\Bonjour
2012-04-30 22:33 . 2012-05-01 17:35 -------- d-----w- c:\program files\HitmanPro
2012-04-30 22:33 . 2012-04-30 22:33 -------- d-----w- c:\programdata\HitmanPro
2012-04-30 19:01 . 2012-04-30 19:01 -------- d-----w- c:\users\Obsession\AppData\Roaming\Malwarebytes
2012-04-30 19:00 . 2012-04-30 19:00 -------- d-----w- c:\programdata\Malwarebytes
2012-04-30 19:00 . 2012-04-30 19:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-04-30 19:00 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-15 08:36 . 2012-02-29 15:09 157696 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-15 08:36 . 2012-02-29 13:32 12800 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-13 16:55 . 2012-03-01 11:01 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-06 06:39 . 2012-04-15 08:35 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-06 06:39 . 2012-04-15 08:35 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-02-29 15:11 . 2012-04-15 08:36 5120 ----a-w- c:\windows\system32\wmi.dll
2012-02-29 15:11 . 2012-04-15 08:36 172032 ----a-w- c:\windows\system32\wintrust.dll
2012-02-28 01:11 . 2012-04-15 08:37 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-02-23 08:18 . 2010-02-25 20:01 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-20 15:34 . 2012-02-20 15:34 161792 ----a-w- c:\windows\system32\msls31.dll
2012-02-20 15:34 . 2012-02-20 15:34 86528 ----a-w- c:\windows\system32\iesysprep.dll
2012-02-20 15:34 . 2012-02-20 15:34 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-02-20 15:34 . 2012-02-20 15:34 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-02-20 15:34 . 2012-02-20 15:34 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-02-20 15:34 . 2012-02-20 15:34 63488 ----a-w- c:\windows\system32\tdc.ocx
2012-02-20 15:34 . 2012-02-20 15:34 367104 ----a-w- c:\windows\system32\html.iec
2012-02-20 15:34 . 2012-02-20 15:34 74752 ----a-w- c:\windows\system32\iesetup.dll
2012-02-20 15:34 . 2012-02-20 15:34 23552 ----a-w- c:\windows\system32\licmgr10.dll
2012-02-20 15:34 . 2012-02-20 15:34 420864 ----a-w- c:\windows\system32\vbscript.dll
2012-02-20 15:34 . 2012-02-20 15:34 152064 ----a-w- c:\windows\system32\wextract.exe
2012-02-20 15:34 . 2012-02-20 15:34 150528 ----a-w- c:\windows\system32\iexpress.exe
2012-02-20 15:33 . 2012-02-20 15:33 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2012-02-20 15:33 . 2012-02-20 15:33 11776 ----a-w- c:\windows\system32\mshta.exe
2012-02-20 15:33 . 2012-02-20 15:33 101888 ----a-w- c:\windows\system32\admparse.dll
2012-02-20 15:33 . 2012-02-20 15:33 35840 ----a-w- c:\windows\system32\imgutil.dll
2012-02-20 15:33 . 2012-02-20 15:33 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-02-14 15:45 . 2012-03-16 13:17 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45 . 2012-03-16 13:17 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-02-13 14:12 . 2012-03-16 13:17 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-02-13 13:47 . 2012-03-16 13:17 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-02-13 13:44 . 2012-03-16 13:17 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-04-21 01:18 . 2012-05-02 08:50 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\prxtbDVD2.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-05-09 09:49 176936 ----a-w- c:\program files\DVDVideoSoftTB\prxtbDVD2.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\prxtbDVD2.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\program files\DVDVideoSoftTB\prxtbDVD2.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ7.2\ICQ.exe" [2011-01-05 133432]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-01-11 4321280]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-31 126976]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-31 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-31 151552]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 08:07 843712 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-03-27 12:41 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-02-20 19:28 59240 ----a-w- c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
2006-12-27 23:02 1454080 ----a-r- c:\program files\avmwlanstick\WLanGUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Conime]
2009-04-10 22:27 69120 ----a-w- c:\windows\System32\conime.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56 1230704 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EKIJ5000StatusMonitor]
2010-09-02 06:23 1638400 ----a-w- c:\windows\System32\spool\drivers\w32x86\3\EKIJ5000MUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-12-10 20:52 49152 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-03-27 03:09 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LG Intelligent Update]
2007-01-12 18:42 230968 ----a-w- c:\program files\lg_swupdate\GiljabiStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGSysCtrl]
2007-01-23 09:53 565248 ----a-w- c:\program files\LG Software\System Control Manager\MGSysCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-09-06 13:09 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2006-11-22 20:20 815104 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-18 22:33 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2710332154-3718024454-1692442116-1000]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
getPlusHelper REG_MULTI_SZ getPlusHelper
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
Update-Service-Installer-Service REG_MULTI_SZ Update-Service-Installer-Service
Update-Service REG_MULTI_SZ Update-Service
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-14 22:33]
.
2012-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-14 22:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Free YouTube to Mp3 Converter - c:\users\Obsession\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Obsession\AppData\Roaming\Mozilla\Firefox\Profiles\6pdonduy.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-03 01:05
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\avmwlanstick\WlanNetService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Kodak\AiO\Center\ekdiscovery.exe
c:\program files\LG Software\System Control Manager\edd.exe
c:\windows\system32\o2flash.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Avira\AntiVir Desktop\avmailc.exe
c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files\avira\antivir desktop\guardgui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-03 01:31:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-05-02 23:29
.
Vor Suchlauf: 12 Verzeichnis(se), 95.849.328.640 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 95.704.997.888 Bytes frei
.
- - End Of File - - E7C857A4972F39998F38154E6444037D

Es handelt sich hierbei auch nixht um einen Atraps.gen sondern um den Trojan Mediyes. Dieser tritt als gefährlicher Datenstehler auf. Machst du Onlinebanking oder andere Geschäfte über das Internet? Wenn dies der Fall sein sollte, wäre ein neuaufsetzen des Systems ratsamer.

Ansonsten:

Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link. "

Ok, danke, hier der Upload-Link:

http://www.file-upload.net/download-4323…Report.rtf.html

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox Ausser das Wort Zitat :

Quoted

:OTL
SRV - (getPlusHelper) -- C:\Program Files\NOS\bin\getPlus_Helper.dll File not found
SRV - (Update-Service) -- C:\Windows\System32\UpdSvc.dll (Joosoft.com GmbH)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
DRV - (phni) -- System32\drivers\supv.sys File not found
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (ntq7stpa) -- C:\Windows\system32\ntq7stpa.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (catchme) -- C:\ComboFix\catchme.sys File not found
DRV - (blbdrive) -- C:\Windows\system32\drivers\blbdrive.sys File not found
DRV - (axte3na5) -- File not found
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\SearchScopes\{4A8ECBF6-1AA9-4DA0-9B5D-93640DCA4AC9}: "URL" = http://www.google.de/search?q={searchTerms}&rlz=1I7ADFA_deDE419
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\SearchScopes\{BE9654C9-9D79-42ec-B55A-3CAEB12DBF58}: "URL" = http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2009.07.15 20:44:32 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} () (No name found) --
[2012.04.21 03:54:08 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.21 03:54:08 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.04.21 03:54:08 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.04.21 03:54:08 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.21 03:54:08 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.21 03:54:08 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-2710332154-3718024454-1692442116-1000\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
MsConfig - StartUpReg: Conime - hkey= - key= - File not found
MsConfig - StartUpReg: EKIJ5000StatusMonitor - hkey= - key= - File not found
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
[2012.05.03 00:32:11 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012.05.03 00:32:11 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012.05.03 00:32:11 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012.05.03 00:32:00 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2012.05.03 00:31:58 | 000,000,000 | ---D | C] -- C:\ComboFix
[2012.05.03 00:31:53 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.05.03 10:20:00 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.05.03 09:55:00 | 000,001,100 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.05.03 00:32:11 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.05.03 00:32:11 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.05.03 00:32:11 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.05.03 00:32:11 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.05.03 00:32:11 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2007.11.20 22:12:48 | 000,000,000 | ---D | M] -- C:\Users\Obsession\AppData\Roaming\ICQ Toolbar






:Files

ipconfig /flushdns /c

:Commands
[emptyflash]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.


Das hier hört sich auch nicht so toll an:

[ System Events ]
Error - 03.05.2012 04:48:35 | Computer Name = Jilly | Source = disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\DR0.

Hallo, habe die Aktion ausgeführt, hier der Report:

All processes killed
========== OTL ==========
Service getPlusHelper stopped successfully!
Service getPlusHelper deleted successfully!
File C:\Program Files\NOS\bin\getPlus_Helper.dll File not found not found.
Service Update-Service stopped successfully!
Service Update-Service deleted successfully!
C:\Windows\System32\UpdSvc.dll moved successfully.
Service WinDefend stopped successfully!
Service WinDefend deleted successfully!
File move failed. C:\Programme\Windows Defender\MpSvc.dll scheduled to be moved on reboot.
Service phni stopped successfully!
Service phni deleted successfully!
File System32\drivers\supv.sys File not found not found.
Service NwlnkFwd stopped successfully!
Service NwlnkFwd deleted successfully!
File system32\DRIVERS\nwlnkfwd.sys File not found not found.
Service NwlnkFlt stopped successfully!
Service NwlnkFlt deleted successfully!
File system32\DRIVERS\nwlnkflt.sys File not found not found.
Error: No service named ntq7stpa was found to stop!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntq7stpa deleted successfully.
File C:\Windows\system32\ntq7stpa.sys File not found not found.
Service IpInIp stopped successfully!
Service IpInIp deleted successfully!
File system32\DRIVERS\ipinip.sys File not found not found.
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\ComboFix\catchme.sys File not found not found.
Service blbdrive stopped successfully!
Service blbdrive deleted successfully!
File C:\Windows\system32\drivers\blbdrive.sys File not found not found.
Error: No service named axte3na5 was found to stop!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axte3na5 deleted successfully.
File File not found not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.
C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry value HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry key HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\SearchScopes\{4A8ECBF6-1AA9-4DA0-9B5D-93640DCA4AC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A8ECBF6-1AA9-4DA0-9B5D-93640DCA4AC9}\ not found.
Registry key HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6552C7DD-90A4-4387-B795-F8F96747DE19}\ not found.
Registry key HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BE9654C9-9D79-42ec-B55A-3CAEB12DBF58}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BE9654C9-9D79-42ec-B55A-3CAEB12DBF58}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.
Folder C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} () (No name found) --\ not found.
C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\bing.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B4F3A835-0E21-4959-BA22-42B3008E02FF}\ deleted successfully.
C:\Programme\Microsoft Office\Office14\URLREDIR.DLL moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry value HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
Registry value HKEY_USERS\S-1-5-21-2710332154-3718024454-1692442116-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft &Excel exportieren\ deleted successfully.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Conime\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\EKIJ5000StatusMonitor\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}\ not found.
C:\Windows\SWREG.exe moved successfully.
C:\Windows\SWSC.exe moved successfully.
C:\Windows\NIRCMD.exe moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000004 folder moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000003 folder moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000002 folder moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000001 folder moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users folder moved successfully.
C:\Windows\ERDNT\Hiv-backup folder moved successfully.
C:\Windows\ERDNT\cache folder moved successfully.
C:\Windows\ERDNT folder moved successfully.
C:\ComboFix folder moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine\C\Windows\System32 folder moved successfully.
C:\Qoobox\Quarantine\C\Windows folder moved successfully.
C:\Qoobox\Quarantine\C\Users\Obsession\Documents folder moved successfully.
C:\Qoobox\Quarantine\C\Users\Obsession folder moved successfully.
C:\Qoobox\Quarantine\C\Users folder moved successfully.
C:\Qoobox\Quarantine\C folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
Folder move failed. C:\Qoobox\BackEnv scheduled to be moved on reboot.
C:\Qoobox folder moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Windows\PEV.exe moved successfully.
C:\Windows\MBR.exe moved successfully.
C:\Windows\sed.exe moved successfully.
C:\Windows\grep.exe moved successfully.
C:\Windows\zip.exe moved successfully.
C:\Users\Obsession\AppData\Roaming\ICQ Toolbar folder moved successfully.
File ptyflash] not found.
File ptytemp] not found.
File boot] not found.

OTL by OldTimer - Version 3.2.42.2 log created on 05032012_200501

Files\Folders moved on Reboot...
File move failed. C:\Programme\Windows Defender\MpSvc.dll scheduled to be moved on reboot.
File\Folder C:\Qoobox\BackEnv not found!

Registry entries deleted on Reboot...

Den Ordner C:\_OTL kannst du löschen.

Bitte Antivir updaten und System nun wie folgt scannen:

Konfiguration

Antivir öffnen, unter Extras - Konfiguration bei Expertenmodus Button auf *an* setzen , dort alle Dateien und Rootkitsuche bei Suchstart markieren, auf Systemscanner - Suche gehen und dort die Dateiheuristik auf hoch setzen. Unter Systemscanner - Suche - Aktion bei Fund - automatisch und als primäre Aktion "ignorieren" wählen und den Haken bei "Datei vor Aktion in Quarantäne kopieren" setzen. Unter Archive den Haken bei Rekursionstiefe einschränken entfernen. Bitte auch unter Systemscanner – weitere Einstellungen alle Haken setzen und den Haken bei *symbolischen Verknüpfungen folgen* herausnehmen.

Suchlauf

Danach unter PC Sicherheit - Systemscanner *Lokale Laufwerke* markieren. Dann *Lokale Laufwerke* markiert halten und oben links auf die Lupe zum Start des Scans drücken (unter Vista die rechte Lupe mit dem Admin - Symbol). Scanbericht bitte dann hier posten.

Rootkitsuche 2. Scan

Danach bitte noch einen 2. Scan - diesmal unter PC Sicherheit - Systemscanner Suche nach Rootkits und aktiver Malware auswählen. Bitte auf die Frage am Schluß des Scans, ob noch ein Scan über die Laufwerke durchgeführt werden soll mit „Nein“ antworten.

Hier der erste Scanbericht:



Avira Antivirus Premium 2012
Erstellungsdatum der Reportdatei: Donnerstag, 3. Mai 2012 21:04

Es wird nach 3742446 Virenstämmen gesucht.

Das Programm läuft als voll funktionsfähige Evaluationsversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername :
Computername :

Versionsinformationen:
BUILD.DAT : 12.0.0.915 42648 Bytes 31.01.2012 13:20:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 07:11:00
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 07:11:44
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 07:11:11
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 07:11:00
AVREG.DLL : 12.1.0.36 229128 Bytes 01.05.2012 13:09:34
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:05:25
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:07:01
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 13:07:01
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 13:07:01
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 13:07:02
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 13:07:02
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 13:07:02
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 13:07:02
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 13:07:02
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 13:07:02
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 13:07:03
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 13:07:07
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 13:07:12
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 13:07:15
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 13:07:26
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 13:07:30
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 13:07:33
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 13:07:38
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 13:07:43
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 13:07:47
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 13:07:51
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 13:07:56
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 13:08:00
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 13:08:04
VBASE027.VDF : 7.11.29.37 290816 Bytes 03.05.2012 18:00:56
VBASE028.VDF : 7.11.29.38 2048 Bytes 03.05.2012 18:00:56
VBASE029.VDF : 7.11.29.39 2048 Bytes 03.05.2012 18:00:56
VBASE030.VDF : 7.11.29.40 2048 Bytes 03.05.2012 18:00:56
VBASE031.VDF : 7.11.29.42 2048 Bytes 03.05.2012 18:00:56
Engineversion : 8.2.10.58
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 06:55:38
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 01.05.2012 13:09:26
AESCN.DLL : 8.1.8.2 131444 Bytes 01.05.2012 13:09:22
AESBX.DLL : 8.2.5.5 606579 Bytes 01.05.2012 13:09:30
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.2.16.9 807287 Bytes 01.05.2012 13:09:18
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 01.05.2012 13:09:09
AEHEUR.DLL : 8.1.4.21 4682102 Bytes 01.05.2012 13:09:07
AEHELP.DLL : 8.1.20.0 254326 Bytes 01.05.2012 13:08:25
AEGEN.DLL : 8.1.5.28 422260 Bytes 01.05.2012 13:08:18
AEEXP.DLL : 8.1.0.33 82293 Bytes 01.05.2012 13:09:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34
AECORE.DLL : 8.1.25.6 201078 Bytes 01.05.2012 13:08:13
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 07:11:02
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 07:10:59
AVREP.DLL : 12.1.0.17 179920 Bytes 31.01.2012 07:11:00
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 07:10:54
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 07:10:55
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 07:11:17
AVSMTP.DLL : 12.1.0.17 63440 Bytes 31.01.2012 07:11:01
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 07:11:12
RCIMAGE.DLL : 12.1.0.17 4491472 Bytes 31.01.2012 07:11:49
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 07:11:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 3. Mai 2012 21:04

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'edd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ekdiscovery.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1121' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Donnerstag, 3. Mai 2012 22:24
Benötigte Zeit: 1:19:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

24630 Verzeichnisse wurden überprüft
272427 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
272427 Dateien ohne Befall
2170 Archive wurden durchsucht
0 Warnungen
1 Hinweise
107007 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Bitte folgendes ausführen und Ergebnis posten:

http://www.osnanet.de/andreas.hoetker/Progs/LanmanCheck.exe

... und hier der Report des zweiten Scans:



Avira Antivirus Premium 2012
Erstellungsdatum der Reportdatei: Donnerstag, 3. Mai 2012 22:38

Es wird nach 3742446 Virenstämmen gesucht.

Das Programm läuft als voll funktionsfähige Evaluationsversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : xxxxxxxxxxxxxxxxxx
Seriennummer : xxxxxxxxxxxxxxxx
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : xxxxxxxxx
Computername : xxxxxxxx

Versionsinformationen:
BUILD.DAT : 12.0.0.915 42648 Bytes 31.01.2012 13:20:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 07:11:00
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 07:11:44
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 07:11:11
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 07:11:00
AVREG.DLL : 12.1.0.36 229128 Bytes 01.05.2012 13:09:34
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:05:25
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:07:01
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 13:07:01
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 13:07:01
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 13:07:02
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 13:07:02
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 13:07:02
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 13:07:02
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 13:07:02
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 13:07:02
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 13:07:03
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 13:07:07
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 13:07:12
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 13:07:15
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 13:07:26
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 13:07:30
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 13:07:33
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 13:07:38
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 13:07:43
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 13:07:47
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 13:07:51
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 13:07:56
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 13:08:00
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 13:08:04
VBASE027.VDF : 7.11.29.37 290816 Bytes 03.05.2012 18:00:56
VBASE028.VDF : 7.11.29.38 2048 Bytes 03.05.2012 18:00:56
VBASE029.VDF : 7.11.29.39 2048 Bytes 03.05.2012 18:00:56
VBASE030.VDF : 7.11.29.40 2048 Bytes 03.05.2012 18:00:56
VBASE031.VDF : 7.11.29.42 2048 Bytes 03.05.2012 18:00:56
Engineversion : 8.2.10.58
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 06:55:38
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 01.05.2012 13:09:26
AESCN.DLL : 8.1.8.2 131444 Bytes 01.05.2012 13:09:22
AESBX.DLL : 8.2.5.5 606579 Bytes 01.05.2012 13:09:30
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.2.16.9 807287 Bytes 01.05.2012 13:09:18
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 01.05.2012 13:09:09
AEHEUR.DLL : 8.1.4.21 4682102 Bytes 01.05.2012 13:09:07
AEHELP.DLL : 8.1.20.0 254326 Bytes 01.05.2012 13:08:25
AEGEN.DLL : 8.1.5.28 422260 Bytes 01.05.2012 13:08:18
AEEXP.DLL : 8.1.0.33 82293 Bytes 01.05.2012 13:09:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34
AECORE.DLL : 8.1.25.6 201078 Bytes 01.05.2012 13:08:13
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 07:11:02
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 07:10:59
AVREP.DLL : 12.1.0.17 179920 Bytes 31.01.2012 07:11:00
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 07:10:54
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 07:10:55
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 07:11:17
AVSMTP.DLL : 12.1.0.17 63440 Bytes 31.01.2012 07:11:01
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 07:11:12
RCIMAGE.DLL : 12.1.0.17 4491472 Bytes 31.01.2012 07:11:49
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 07:11:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 3. Mai 2012 22:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'edd.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ekdiscovery.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1121' Dateien ).



Ende des Suchlaufs: Donnerstag, 3. Mai 2012 22:54
Benötigte Zeit: 16:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
3791 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3791 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise
549781 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Beim Start von LanmanCheck bekomme ich die Meldung, dass der "Lanmanworkstation Schlüssel konnte nicht ausgelesen werden oder ist nicht vorhanden! Bitte wenden Sie sich mit den angezeigten Infos an das Virenforum und erststellen Sie dort einen neuen Beitrag."

Weißt Du, was in dem Fall zu tun ist?

Viele Grüße

Mache mal einen Neustart und versuche es erneut.

Lizenzdaten aus Listing 1 entfernt.

Hallo,

ein Neustart hat leider nicht geholfen.

Was bedeutet "Lizenzdaten aus Listing 1 entfernt."?


Was kann ich da machen? Ich habe das PRG auch noch mal runtergeladen, hat aber auch nichts gebracht.


Danke für eine Antwort.

"Lizenzdaten aus Listing 1 entfernt."


OK, verstanden. Meine Frage war etwas überhastet, ich dachte es hätte irgendwas mit meiner Frage zu lanmanworkstation zu tun.

Bitte einen Scan mit Superantispyware Free Edition durchführen:

Dazu Superantispyware aus dem Link in meiner Signatur herunterladen und wie in dem folgenden Link beschrieben, updaten, konfigurieren und nen Komplettscan machen und das Ergebnis posten.

http://www.hijackthis-forum.de/tipps-tri…-anleitung.html.

Hallo Nighthawk,

da ich den LanmanCheck nicht ans Laufen bringen konnte, habe ich mal in Paules-PC-Forum gepostet, da wurde ich automatisch hingeleitet als ich die Fehlermeldung weggedrückt habe. Dort wurde mir der PPFscanner empfohlen und anschließend ein Skript, so dass ich den LanmanCheck dann starten konnte. Ein Virus wurde nicht gefunden.

Ich warte da jetzt noch auf eine Antwort, die ich auch hier posten werde.

Viele Grüße