Windows XP lahmt, Kaspersky sendet Fehlermeldung.

[barbarella]

Ich mache immer wieder solche Fehler, weil ich so gutgläubig bin.
Ich hoffe sowas passiert mir nicht wieder.
Hoffentlich gehts ohne CD



Das ist ein Fund oder?

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:

\Driver\ACPI -> 0x854d0060
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x84807330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012822A41 
malicious code @ sector 0x012822A44 !
PE file found in sector at 0x012822A5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Vor ein paar Tagen, allerdings als der PC schon nicht mehr richtig lief-konnte ich nicht ins Internet, weil angeblich kein Treiber mehr für das Realtek Teil mehr da war, nach Scandisk gings aber wieder.
Hat das was zu sagen?

[Petra]

dann mache jetzt den Punkt MBR wiederherstellen - es geht ja auch ohne CD

[barbarella]

Beiträge haben sich überschnitten,siehe oben, ist ein Fund oder?
Jetzt MBR wiederherstellen?
Danke Petra!
Barbara
PS, was ist ein PRompt?

[Petra]

ja, jetzt wiederherstellen. Ein Prompt ist dieses blinkende > in einem Dosfenster.

[barbarella]

Code:

ComboFix 10-02-04.06 - Keilhofer 05.02.2010  14:46:59.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.959.610 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Keilhofer\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\AD ON Multimedia
c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini
c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe
c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\ezpinst.log
c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\inst.exe
c:\windows\system32\E95THK16.EXE
c:\windows\system32\encapi32.dll
d:\programme\\setup.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-01-05 bis 2010-02-05  ))))))))))))))))))))))))))))))
.

2010-02-05 13:20 . 2010-02-05 12:22	77312	----a-w-	c:\windows\system32\mbr.exe
2010-02-04 16:24 . 2010-02-04 19:15	--------	d-----w-	C:\rsit
2010-02-04 09:51 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-02-04 09:51 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-02-04 09:51 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-02-04 09:51 . 2010-02-04 09:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-02-04 06:29 . 2006-02-28 12:00	73728	------w-	c:\windows\system32\tasklist.exe
2010-02-03 19:14 . 2010-02-04 09:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-02-03 13:20 . 2008-07-21 23:14	9728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-02-03 13:08 . 2010-02-03 13:08	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\Leadertech
2010-02-03 13:07 . 2010-02-03 13:07	10134	----a-r-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\Microsoft\Installer\{3101CB58-3482-4D21-AF1A-7057FC935355}\ARPPRODUCTICON.exe
2010-02-03 07:02 . 2010-02-03 07:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Publish Data
2010-02-03 07:01 . 2010-02-04 07:29	--------	d-----w-	c:\windows\uninstall\Treiber-Studio
2010-02-03 07:01 . 2010-02-03 07:01	--------	d-----w-	c:\windows\uninstall
2010-02-03 06:53 . 2010-02-03 06:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
2010-02-03 06:38 . 2010-02-03 06:38	--------	d-----w-	d:\programme\SystemRequirementsLab
2010-02-02 07:50 . 2007-11-16 20:00	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2010-02-02 07:50 . 2007-11-16 19:55	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Netzwerkumgebung
2010-02-02 07:50 . 2007-11-16 19:55	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Druckumgebung
2010-02-02 07:50 . 2007-11-16 19:55	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Favoriten
2010-02-02 07:50 . 2010-02-05 11:29	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant
2010-01-28 06:58 . 2010-01-28 06:58	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-01-28 06:53 . 2010-01-28 06:53	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\1&1
2010-01-28 06:52 . 2010-01-31 08:52	--------	d-----w-	d:\programme\1&1
2010-01-19 20:32 . 2010-02-02 12:03	--------	d-----w-	d:\programme\Apophysis 2.0
2010-01-18 17:44 . 2010-01-18 17:44	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\ChaosPro
2010-01-18 17:44 . 2010-01-18 17:47	--------	d-----w-	d:\programme\ChaosPro 4.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-05 13:42 . 2008-07-19 18:12	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\TVgenial
2010-02-05 13:32 . 2008-02-24 15:04	--------	d-----w-	d:\programme\Spybot - Search & Destroy
2010-02-05 13:29 . 2008-02-24 15:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-05 13:28 . 2007-11-18 13:39	--------	d-----w-	d:\programme\D-Tools
2010-02-04 17:36 . 2009-03-11 14:55	--------	d-----w-	d:\programme\StarMoney 7.0
2010-02-04 15:28 . 2007-12-17 15:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online
2010-02-04 15:27 . 2009-11-21 07:53	--------	d-----w-	c:\programme\Gemeinsame Dateien\T-Com
2010-02-04 13:16 . 2010-02-04 13:17	176708	----a-w-	c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1031.dat
2010-02-04 12:20 . 2004-08-04 12:00	80108	----a-w-	c:\windows\system32\perfc007.dat
2010-02-04 12:20 . 2004-08-04 12:00	448800	----a-w-	c:\windows\system32\perfh007.dat
2010-02-03 13:08 . 2008-08-14 05:00	--------	d-----w-	c:\programme\Gemeinsame Dateien\Logishrd
2010-02-03 13:08 . 2008-03-08 05:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-02-03 06:53 . 2007-11-16 20:12	53608	----a-w-	c:\dokumente und einstellungen\Keilhofer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-31 10:28 . 2007-12-10 09:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-01-09 21:29 . 2007-12-04 19:53	--------	d--h--w-	d:\programme\InstallShield Installation Information
2010-01-09 21:14 . 2007-12-05 18:22	--------	d-----w-	d:\programme\Bin
2010-01-04 14:13 . 2010-01-04 14:13	0	----a-w-	c:\windows\ativpsrm.bin
2010-01-04 14:11 . 2007-11-16 20:23	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\ATI
2010-01-04 14:09 . 2010-01-04 14:09	--------	d-----w-	d:\programme\ATI Technologies
2010-01-04 13:44 . 2009-08-05 18:54	--------	d-----w-	d:\programme\FreeRIP3
2010-01-03 22:46 . 2008-08-10 14:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-01-03 13:36 . 2010-01-03 13:36	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{855AC138-2EA3-4E4E-927F-F77AE9DA3E82}
2010-01-03 13:35 . 2010-01-03 13:35	--------	d-----w-	d:\programme\AquaSoft
2010-01-03 13:35 . 2010-01-03 08:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\AquaSoft
2010-01-03 09:02 . 2010-01-03 09:00	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\AquaSoft
2010-01-03 09:00 . 2009-01-11 09:19	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-01-02 14:09 . 2010-01-02 14:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\Ulead Systems
2010-01-02 14:07 . 2008-06-25 05:32	--------	d-----w-	d:\programme\Corel
2009-12-26 09:56 . 2009-12-26 09:56	--------	d-----w-	c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\Amazon
2009-12-26 09:55 . 2009-12-26 09:55	--------	d-----w-	d:\programme\Amazon
2009-12-21 19:05 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-12-11 12:08 . 2010-01-03 13:36	3178781	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{855AC138-2EA3-4E4E-927F-F77AE9DA3E82}\Setup.exe
2009-12-10 17:00 . 2009-02-10 18:20	358944	----a-w-	c:\windows\vncutil.exe
2009-12-10 17:00 . 2007-11-16 20:30	84512	----a-w-	c:\windows\SOUNDMAN.EXE
2009-12-10 17:00 . 2007-11-16 20:30	1833504	----a-w-	c:\windows\SkyTel.exe
2009-12-10 17:00 . 2007-11-16 20:30	1489440	----a-w-	c:\windows\RtlUpd.exe
2009-12-10 17:00 . 2007-11-16 20:30	9721888	----a-w-	c:\windows\RTLCPL.EXE
2009-12-10 17:00 . 2009-02-10 18:20	50208	----a-w-	c:\windows\system32\RtkCoInstXP.dll
2009-12-10 17:00 . 2009-02-10 18:20	129568	----a-w-	c:\windows\RtkAudioService.exe
2009-12-10 17:00 . 2007-11-16 20:30	18789920	----a-w-	c:\windows\RTHDCPL.EXE
2009-12-10 17:00 . 2007-11-16 20:30	2177568	----a-w-	c:\windows\MicCal.exe
2009-12-10 17:00 . 2007-11-16 20:30	64032	----a-w-	c:\windows\ALCMTR.EXE
2009-12-10 17:00 . 2007-11-16 20:30	2815520	----a-w-	c:\windows\ALCWZRD.EXE
2009-12-10 16:23 . 2007-11-16 20:30	6017568	----a-w-	c:\windows\system32\drivers\RtkHDAud.sys
2009-11-25 10:19 . 2009-03-20 06:17	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-24 16:40 . 2007-11-16 20:29	838176	----a-w-	c:\windows\RtlExUpd.dll
2009-11-21 15:54 . 2004-08-04 12:00	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-20 16:23 . 2009-04-09 17:53	604488	----a-w-	c:\windows\system32\TUProgSt.exe
2009-11-20 16:23 . 2009-07-27 19:05	361288	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-11-18 06:17 . 2009-02-10 18:20	1395800	----a-w-	c:\windows\system32\drivers\Monfilt.sys
2009-11-18 06:16 . 2009-02-10 18:20	1691480	----a-w-	c:\windows\system32\drivers\Ambfilt.sys
2009-11-16 11:25 . 2009-07-27 19:05	29000	----a-w-	c:\windows\system32\uxtuneup.dll
2009-08-20 14:29 . 2009-08-20 14:29	9818624	----a-w-	d:\programme\openofficeorg31.msi
2009-08-19 08:07 . 2009-08-19 08:07	336	----a-w-	d:\programme\setup.ini
2008-08-08 06:37 . 2008-08-08 06:37	12612	----a-w-	d:\programme\setuplog.txt
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w-	d:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w-	d:\programme\instmsia.exe
2001-02-19 20:35 . 2009-04-07 13:54	2264	----a-w-	d:\programme\Beipackzettel-engl.rtf
2001-02-09 16:26 . 2009-04-07 13:54	242176	----a-w-	d:\programme\Beipackzettel.doc
2008-01-19 14:06 . 2008-01-19 14:05	24	--sh--w-	c:\windows\S1E40B7F7.tmp
2008-12-04 19:00 . 2008-01-14 11:47	1994	--sha-w-	c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2008-06-26 10:08 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-06-26 10:08 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVgenial"="d:\programme\TVgenial\TVgenial.exe" [2009-05-16 2889840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TTFMan"="d:\programme\typograf\ttfman.exe" [2004-04-20 66216]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 95504]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-10 18789920]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\dokumente und einstellungen\Keilhofer\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe [2008-11-7 517384]

c:\dokumente und einstellungen\Keilhofer\Startmen�\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe [2008-11-7 517384]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2008-8-14 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TVgenial"="d:\programme\TVgenial\TVgenial.exe" -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools-1033"="d:\programme\D-Tools\daemon.exe" -lang 1031
"TTFMan"=d:\programme\typograf\ttfman.exe
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"CanonSolutionMenu"=d:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"SunJavaUpdateSched"="d:\programme\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\StarMoney 7.0\\ouservice\\StarMoneyOnlineUpdate.exe"=
"d:\\Programme\\StarMoney 7.0\\app\\StarMoney.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9842:TCP"= 9842:TCP:*:Disabled:SolidNetworkManager
"9842:UDP"= 9842:UDP:*:Disabled:SolidNetworkManager
"56463:TCP"= 56463:TCP:Pando P2P TCP Listening Port
"56463:UDP"= 56463:UDP:Pando P2P UDP Listening Port
"56852:TCP"= 56852:TCP:Pando P2P TCP Listening Port
"56852:UDP"= 56852:UDP:Pando P2P UDP Listening Port
"58158:TCP"= 58158:TCP:Pando P2P TCP Listening Port
"58158:UDP"= 58158:UDP:Pando P2P UDP Listening Port
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"5008:TCP"= 5008:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"3246:TCP"= 3246:TCP:Services

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [01.01.1980 01:00 120320]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.01.2009 10:19 691696]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [11.01.2009 10:18 95592]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [04.02.2010 10:51 108289]
R3 aucapi;Auerswald CAPI2.0 Device;c:\windows\system32\drivers\aucapi.sys [14.02.2008 10:44 188976]
R3 aumpa;Auerswald ISDN WAN Miniport Driver;c:\windows\system32\drivers\aumpa.sys [14.02.2008 10:44 140336]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [21.11.2009 08:53 13824]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;d:\programme\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [22.09.2009 07:57 528904]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [10.02.2009 19:20 1691480]
S3 auusb;Auerswald ISDN USB Driver;c:\windows\system32\drivers\auusb.sys [01.02.2008 07:56 160816]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [21.11.2009 08:53 26816]
S3 Fadpu16E;Fadpu16E;\??\c:\dokume~1\KEILHO~1\LOKALE~1\Temp\Fadpu16E.sys --> c:\dokume~1\KEILHO~1\LOKALE~1\Temp\Fadpu16E.sys [?]
S3 grmn1200;grmn0200.Sys Garmin USB DCP driver;c:\windows\system32\drivers\grmn1200.sys [22.04.2009 06:04 17448]
S3 TDslMgrService;DSL-Manager;"d:\programme\DSL-Manager\DslMgrSvc.exe" --> d:\programme\DSL-Manager\DslMgrSvc.exe [?]
S4 Raadrvradr;Raadrvradr; [x]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-02-05 c:\windows\Tasks\User_Feed_Synchronization-{DD1D56E6-CC66-46BD-BEBF-23FE0DBB976B}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Trusted Zone: garmin.com\buy
Trusted Zone: garmin.com\connect
Trusted Zone: garmin.com\mygarin
Trusted Zone: microsoft.com\office
FF - ProfilePath - c:\dokumente und einstellungen\Keilhofer\Anwendungsdaten\Mozilla\Firefox\Profiles\wy6gkxry.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.suchblume.com/de/
FF - component: d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\programme\Windows Media Player\npdrmv2.dll
FF - plugin: c:\programme\Windows Media Player\npdsplay.dll
FF - plugin: c:\programme\Windows Media Player\npwmsdrm.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-Locked - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-05 14:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x859D81F8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf757ff28
\Driver\ACPI -> ACPI.sys @ 0xf7306cb8
\Driver\atapi -> atapi.sys @ 0xf72c1b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf71afbb0
 PacketIndicateHandler -> NDIS.sys @ 0xf71bca21
 SendHandler -> NDIS.sys @ 0xf719a87b
user & kernel MBR OK 
copy of MBR has been found in sector 0x012822A41 
malicious code @ sector 0x012822A44 !
PE file found in sector at 0x012822A5A !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A6F4B3B9-18E2-A219-B8FD-ACCAC9C96FB5}\InProcServer32*]
"oancaagcipjihmffkdnhiijknbhjpg"=hex:69,61,66,69,61,66,65,67,67,68,6d,68,6c,66,
   68,61,62,6b,00,00
"nancoacgdojpfdepbppnalbkfmei"=hex:6a,61,70,68,69,63,6a,6b,65,6f,6b,63,6e,6d,
   6b,67,65,70,63,68,00,07
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1428)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(2776)
d:\programme\Logitech\SetPoint\lgscroll.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\ASTSRV.EXE
c:\windows\system32\CTsvcCDA.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
d:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\PSIService.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\dwwin.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows\System32\TUProgSt.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-05  14:53:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-02-05 13:53

Vor Suchlauf: 2.068.013.056 Bytes frei
Nach Suchlauf: 2.029.891.584 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 3062E3C9C7EC80F7E6C7F5B56B4FFF4D

Ich seh grad, Tuneup ist noch da....
Aber die Einstellungen hab ich zurückgenommen,...hoffe das ist jetzt nicht zu schlimm...Momentan läuft der PC extrarund...hoffe, das ist ein gutes Zeichen....

[Petra]

Hattest Du die Punkte 2 - 5 vor dem Lauf von Combofix erledigt?

C:\Qoobox\Add-Remove Programs.txt fehlt noch, bitte nachreichen.

[barbarella]

2-5 hab ich erledigt, aber anscheinend tuneup nicht gelöscht, aber alle Änderungen hatte ich zurückgesetzt

QooboxAdd-Remove Text, wasn das?
Hab ich da was überlesen?
Entschuldige...

Isses das?
Habs mit der Suchenfunktion gefunden, wo hatte ich das denn?

Code:

Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop CS
Adobe Photoshop Lightroom 2.3
Adobe Shockwave Player
Alien Skin Blow Up
Alien Skin Snap Art
Alien Skin Xenofex 2.0
Amazon MP3-Downloader 1.0.5
Apophysis 2.0
AquaSoft DiaShow 7 Ultimate
ATI - Dienstprogramm zur Deinstallation der Software
ATI Display Driver
ATI Parental Control & Encoder
Audible Download Manager
AudibleManager
Auerswald-CAPI-2.0-Treiber
Auerswald COMpact 2104 Tools 3.2.2
Avira AntiVir Personal - Free Antivirus
Canon iP4300
Canon iP4300 Benutzerregistrierung
Canon MP Navigator EX 2.0
Canon Setup Utility 2.3
Canon Utilities Solution Menu
CanoScan LiDE 100 Scanner Driver
CDDRV_Installer
ChaosPro
Creative-Systeminformationen
Creative MediaSource 5
Creative MuVo V100
ElsterFormular 2008/2009
erLT
Foxit Reader
FreeRIP v3.30
FUJIFILM USB Driver
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB954550-v5)
IrfanView (remove only)
IsoBuster 2.5.5
KhalInstallWrapper
Logitech Registration
Logitech SetPoint
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Internet Explorer Administration Kit 5
Microsoft Office XP Professional mit FrontPage
Microsoft Office XP Resource Kit Documents
Microsoft Office XP Resource Kit Tools
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.6)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 6.0 Parser (KB933579)
Neat Image v6 Demo (with plug-in)
Nero 8 Essentials
neroxml
Noiseware Community Edition
PINs 4
PowerDVD
Real Alternative 1.8.0
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sqirlz Water Reflections
StarMoney
StarMoney 7.0 
System Requirements Lab for Intel
TuneUp Utilities 2009
TVgenial 4.07
Typograf4.8f
Ulead PhotoImpact X3
Update für Windows Internet Explorer 8 (KB976749)
Update für Windows XP (KB955759)
Update für Windows XP (KB971737)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
VCRedistSetup
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
WebFldrs XP
Windows Communication Foundation Language Pack - DEU
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Encoder 9-Reihe
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
WinRAR
XML Paper Specification Shared Components Pack 1.0

[Petra]

===== Punkt 1 =====

ok, dann bitte aber auch noch TuneUp deinstallieren.


===== Punkt 2 =====

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Gmer ist geeignet für => NT/W2K/XP/VISTA (nur 32Bit).
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
  anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
  .
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
  Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

[barbarella]

Hallo mitten in der Nacht!
Habe Tuneup deinstalliert und Gmer ausgeführt.
Habe bei files Einstellung , dass nur C gescannt werden soll, so gelassen, und ADS war angehakt, das auch.
Show all hab ich nicht angehakt.
Hätte ich D auch anhaken sollen bei Files?
Hab ich alles schon mal gefragt, aber vielleicht hast Du das bei der Menge Threads ja nicht gesehen.

Code:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-06 00:40:46
Windows 5.1.2600 Service Pack 3
Running: chplxx3b.exe; Driver: C:\DOKUME~1\KEILHO~1\LOKALE~1\Temp\fwdyqpod.sys


---- System - GMER 1.0.15 ----

SSDT            F7BA6166                                                                                                          ZwCreateKey
SSDT            F7BA615C                                                                                                          ZwCreateThread
SSDT            F7BA616B                                                                                                          ZwDeleteKey
SSDT            F7BA6175                                                                                                          ZwDeleteValueKey
SSDT            spgb.sys                                                                                                          ZwEnumerateKey [0xF7360DA4]
SSDT            spgb.sys                                                                                                          ZwEnumerateValueKey [0xF7361132]
SSDT            F7BA617A                                                                                                          ZwLoadKey
SSDT            spgb.sys                                                                                                          ZwOpenKey [0xF73480C0]
SSDT            F7BA6148                                                                                                          ZwOpenProcess
SSDT            F7BA614D                                                                                                          ZwOpenThread
SSDT            spgb.sys                                                                                                          ZwQueryKey [0xF736120A]
SSDT            spgb.sys                                                                                                          ZwQueryValueKey [0xF736108A]
SSDT            F7BA6184                                                                                                          ZwReplaceKey
SSDT            F7BA617F                                                                                                          ZwRestoreKey
SSDT            F7BA6170                                                                                                          ZwSetValueKey
SSDT            F7BA6157                                                                                                          ZwTerminateProcess

INT 0x63        ?                                                                                                                 85677BF8
INT 0x73        ?                                                                                                                 85677BF8
INT 0x73        ?                                                                                                                 85677BF8
INT 0x82        ?                                                                                                                 859D8BF8
INT 0x83        ?                                                                                                                 859DABF8
INT 0xA4        ?                                                                                                                 85677BF8
INT 0xB4        ?                                                                                                                 85677BF8

---- Kernel code sections - GMER 1.0.15 ----

?               spgb.sys                                                                                                          Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                          section is writeable [0xF4D83000, 0x1C5D38, 0xE8000020]
.text           USBPORT.SYS!DllUnload                                                                                             F4D248AC 5 Bytes  JMP 856771D8 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                [F7349042] spgb.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                        [F734913E] spgb.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                               [F73490C0] spgb.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                       [F7349800] spgb.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                               [F73496D6] spgb.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                            859681F8
Device          \FileSystem\Fastfat \FatCdrom                                                                                     849CA500
Device          \Driver\usbohci \Device\USBPDO-0                                                                                  855BD1F8
Device          \Driver\usbohci \Device\USBPDO-1                                                                                  855BD1F8
Device          \Driver\usbehci \Device\USBPDO-2                                                                                  855A3500
Device          \Driver\usbohci \Device\USBPDO-3                                                                                  855BD1F8
Device          \Driver\usbohci \Device\USBPDO-4                                                                                  855BD1F8
Device          \Driver\usbohci \Device\USBPDO-5                                                                                  855BD1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                            8596A1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                            8596A1F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                      855CC348
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                            8596A1F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                [F72C1B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                [F72C1B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                            8596A1F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                           84A111F8
Device          \Driver\USBSTOR \Device\00000078                                                                                  854A1500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                  84A111F8
Device          \Driver\usbohci \Device\USBFDO-0                                                                                  855BD1F8
Device          \Driver\usbohci \Device\USBFDO-1                                                                                  855BD1F8
Device          \Driver\usbohci \Device\USBFDO-2                                                                                  855BD1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                 84A0E1F8
Device          \Driver\usbohci \Device\USBFDO-3                                                                                  855BD1F8
Device          \Driver\USBSTOR \Device\0000007c                                                                                  854A1500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                       84A0E1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                  8596A1F8
Device          \Driver\usbohci \Device\USBFDO-4                                                                                  855BD1F8
Device          \Driver\USBSTOR \Device\0000007d                                                                                  854A1500
Device          \Driver\usbehci \Device\USBFDO-5                                                                                  855A3500
Device          \Driver\USBSTOR \Device\0000007e                                                                                  854A1500
Device          \Driver\USBSTOR \Device\0000007f                                                                                  854A1500
Device          \Driver\ahcix86 \Device\Scsi\ahcix861Port2Path0Target0Lun0                                                        859691F8
Device          \Driver\ahcix86 \Device\Scsi\ahcix861                                                                             859691F8
Device          \Driver\ahcix86 \Device\Scsi\ahcix861Port2Path0TargetaLun0                                                        859691F8
Device          \Driver\ahcix86 \Device\Scsi\ahcix861Port2Path0Target10Lun0                                                       859691F8
Device          \FileSystem\Fastfat \Fat                                                                                          849CA500

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                          fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                            854A8500

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                285507792
Reg             HKLM\SOFTWARE\Classes\CLSID\{A6F4B3B9-18E2-A219-B8FD-ACCAC9C96FB5}\InProcServer32                                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{A6F4B3B9-18E2-A219-B8FD-ACCAC9C96FB5}\InProcServer32@oancaagcipjihmffkdnhiijknbhjpg  0x69 0x61 0x66 0x69 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{A6F4B3B9-18E2-A219-B8FD-ACCAC9C96FB5}\InProcServer32@nancoacgdojpfdepbppnalbkfmei    0x6A 0x61 0x70 0x68 ...

---- EOF - GMER 1.0.15 ----

Übrigens bekomme ich jetzt immer beim Rauffahren eine RuntimeError Fehlermeldung für D ( da sind bei mir die Programme drin )....
LIebe Grüsse
Barbara

[Petra]

Gib mir bitte den genauen Wortlaut der Fehlermeldung bzgl. Laufwerk D durch.


===== Punkt 1 =====

Hast oder hattest Du mal DaemonTools oder Alcohol auf dem Computer?


===== Punkt 2 =====

Combofix mit Skript laufen lassen

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   RegLockDel::
   [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A6F4B3B9-18E2-A219-B8FD-ACCAC9C96FB5}]
   
   Registry::
   [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
   [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc2c3107-952d-11dc-a374-00508d9f8b60}]
   
   Driver::
   Fadpu16E
   Raadrvradr
   Lbd
   
   File::
   c:\dokume~1\KEILHO~1\LOKALE~1\Temp\Fadpu16E.sys
   c:\windows\system32\DRIVERS\Lbd.sys

2. Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
   .
   
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
   Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
   Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!