Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten

Pentalong · 30.01.2011, 11:43

Hallo…

ich habe einige Probleme mit meinem Rechner, kann aber nicht sagen, ob zwischen den einzelnen ein Kausalzusammenhang besteht.

1. Firefox öffnet einfach neue Tabs. Meist ist auch gleich eine Warnmeldung auf der jeweiligen Seite dabei, dass die Website als attackierend gemeldet wurde. Teilweise geht es aber auch über drei – vier Seiten zu Google.

2. Im Laufe einer Sitzung habe ich Plötzlich keinen Ton mehr, weder im Internet (Youtube etc) noch Systemgeräusche („Warnmeldungs-Pling“). Das betrifft aber nur die Benutzeroberfläche auf der ich aktiv bin. Nach einem Neustart ist der Ton wieder da und ich bekomme eine Systemmeldung. Die Datenausführverhinderung (oder so) erklärt mir, dass ein Programm Win32-irgendwas beendet wurde. Da das grad nicht passiert ist, kann ich es leider nicht konkreter machen.
3. Meine Firewall startet nicht mehr automatisch. Ich muss sie die letzten Tage manuell aktivieren. Das Problem scheint sich, durch Malwarebytes gelöst zu haben.

Aus der Anleitung.html habe ich die Schritte 1- 3 befolgt. Malwarebytes fand 15 Infektionen.

Kurz nach dem Neustart, kam es zu einer Besonderheit. Eine Warnmeldung erschien und das System wurde automatisch heruntergefahren. Hab mir nur fix system32/services.exe und Statuscode 1073741819 notieren können.

Stell jetzt erstmal das Log von Malwarebytes hoch. Die anderen Folgen.

Pentalong · 30.01.2011, 12:33

So, hab jetzt Schritt 4 - 6 abgearbeitet. Beim defogger bin ich mir unschlüssig, ob das lief wie´s laufen sollte. Ich wurde nicht zum Neustart aufgefordert, hab aber ein Log. Keine Ahnung...

Jedenfalls hier noch die fehlenden Logs.

cosinus · 02.02.2011, 21:30

Zitat:

Database version: 4301
30.01.2011 11:08:00
mbam-log-2011-01-30 (11-08-00).txt
Scan type: Quick scan

Quickscan, uralte MBAM-Version.
Update auf Version 1.50.1 also neuste Version und neueste Signaturen. Dann einen Vollscan machen.
Poste das Log und auch alle anderen, die im Reiter Logdateien sind.

Pentalong · 03.02.2011, 12:36

ok, habs geupdatet. Log vom Fullscan ist im Anhang, gab aber keinen Fund. Ich hab dort ca. 30 Logs, hab daher nur die mit funden hochgestellt. Wenn die anderen doch wichtig sind, reich ich die nach.

Da Avira aber immer was findet, hab ich die letzten Berichte davon hochgestellt.

Zu meinem Ton-Problem, die Meldung kam heute mal wieder. Generic Host Process for Win32 services wurde beendet.

Ich hoffe das hilft...

cosinus · 03.02.2011, 13:39

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Pentalong · 03.02.2011, 16:15

Ok, hab ich gemacht. Zwischendurch wurde der Rechner zwei Mal neu gestartet. Ich kann nicht beurteilen, ob das normal ist.

Jedenfalls hier das CF.log:
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-31.02 - ButterkeksJohnny 03.02.2011  15:43:54.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.600 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ButterkeksJohnny\Desktop\Cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\svchost.jxe
C:\yusedehxxx.exe
c:\yusedehxxx.exe\config.bin
D:\resycled
d:\resycled\boot.com

Infizierte Kopie von c:\windows\system32\drivers\hcw88aud.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ATAPIDRV
-------\Legacy_SVCHOST32
-------\Legacy_USNJSVC
-------\Service_usnjsvc


(((((((((((((((((((((((   Dateien erstellt von 2011-01-03 bis 2011-02-03  ))))))))))))))))))))))))))))))
.

2011-02-01 17:31 . 2011-02-01 17:31	--------	d-----w-	c:\windows\Performance
2011-02-01 17:31 . 2011-02-01 17:31	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2011-02-01 17:30 . 2011-02-01 17:30	--------	d-----w-	c:\programme\Microsoft Windows 7 Upgrade Advisor
2011-01-30 09:51 . 2011-01-30 09:52	--------	d-----w-	c:\programme\ERUNT
2011-01-29 14:00 . 2011-01-29 14:00	--------	d-----w-	c:\programme\Microsoft Works
2011-01-29 12:29 . 2010-10-01 14:20	307200	----a-w-	c:\windows\system32\TubeFinder.exe
2011-01-29 12:29 . 2009-06-19 18:51	119568	----a-w-	c:\windows\system32\VB6FR.DLL
2011-01-29 12:29 . 2009-06-19 18:51	101888	----a-w-	c:\windows\system32\VB6STKIT.DLL
2011-01-29 12:29 . 2009-06-19 18:51	9728	----a-w-	c:\windows\system32\PCCLPFR.DLL
2011-01-29 12:29 . 2009-06-19 18:51	84512	----a-w-	c:\windows\system32\PICCLP32.OCX
2011-01-29 12:29 . 2009-06-19 18:51	364544	----a-w-	c:\windows\system32\PropertyGrid.ocx
2011-01-29 12:29 . 2009-06-19 18:51	141312	----a-w-	c:\windows\system32\MSCMCFR.DLL
2011-01-29 12:29 . 2011-01-29 12:31	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\FreeFLVConverter
2011-01-29 12:29 . 2011-01-29 12:29	--------	d-----w-	c:\programme\Free FLV Converter
2011-01-29 12:29 . 2009-06-19 18:51	32768	----a-w-	c:\windows\system32\CMDLGFR.DLL
2011-01-29 12:29 . 2009-06-19 18:51	24576	----a-w-	c:\windows\system32\ControlSubX.ocx
2011-01-29 12:29 . 2009-06-19 18:51	152848	----a-w-	c:\windows\system32\COMDLG32.OCX
2011-01-29 09:30 . 2011-01-29 09:30	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2011-01-26 10:59 . 2011-01-26 10:59	--------	d-----w-	C:\spoolerlogs
2011-01-25 17:57 . 2011-01-25 17:57	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-01-24 13:51 . 2011-01-24 13:57	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\PeaZip
2011-01-24 13:49 . 2011-01-24 13:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-01-13 10:47 . 2011-02-01 16:02	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\vlc
2011-01-12 06:31 . 2011-01-12 06:31	--------	d-----w-	c:\windows\system32\de
2011-01-12 06:31 . 2011-01-12 06:31	--------	d-----w-	c:\windows\l2schemas
2011-01-12 06:31 . 2011-01-12 06:31	--------	d-----w-	c:\windows\system32\bits
2011-01-05 12:18 . 2011-01-05 12:18	--------	d-sh--w-	c:\dokumente und einstellungen\ButterkeksJohnny\PrivacIE
2011-01-05 11:47 . 2011-01-05 11:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2011-01-05 11:32 . 2011-01-05 11:32	--------	d-----w-	c:\windows\system32\Adobe
2011-01-05 11:00 . 2011-01-05 11:00	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Real
2011-01-05 11:00 . 2011-01-05 11:00	11776	----a-w-	c:\programme\Mozilla Firefox\plugins\nprjplug.dll
2011-01-05 10:59 . 2011-01-05 10:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\xing shared
2011-01-05 10:59 . 2011-01-05 10:59	151776	----a-w-	c:\programme\Mozilla Firefox\plugins\nppl3260.dll
2011-01-05 10:59 . 2011-01-05 10:59	100352	----a-w-	c:\programme\Mozilla Firefox\plugins\nprpjplug.dll
2011-01-05 10:40 . 2011-01-05 10:40	--------	d-----w-	c:\programme\MSECache
2011-01-05 10:34 . 2011-01-05 10:34	--------	d-----w-	c:\programme\Secunia
2011-01-05 09:39 . 2011-01-05 09:39	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Sytexis Software
2011-01-05 09:39 . 2011-01-24 14:24	--------	d-----w-	c:\programme\Sytexis Software

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-05 10:59 . 2003-03-18 21:14	499712	----a-w-	c:\windows\system32\msvcp71.dll
2011-01-05 10:59 . 2003-02-21 03:42	348160	----a-w-	c:\windows\system32\msvcr71.dll
2011-01-04 13:52 . 2011-01-04 13:53	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-01-04 13:52 . 2011-01-04 13:53	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-25 19:01 . 2010-04-11 10:22	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-07-11 08:51	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-07-11 08:51	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-28 09:47 . 2010-04-11 10:22	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-01-05 274608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Secunia PSI Tray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk
backup=c:\windows\pss\Secunia PSI Tray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin210.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin210.exe.lnk
backup=c:\windows\pss\TrayMin210.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
2004-06-09 13:37	40960	----a-w-	c:\windows\VM_STI.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-01 06:32	421160	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44	248552	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2011-01-05 10:59	274608	----a-w-	c:\programme\Real\RealPlayer\Update\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1700:TCP"= 1700:TCP:MioNet Remote Drive Access
"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [27.07.2005 08:42 11970]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.04.2010 11:22 135336]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [27.07.2005 08:42 133696]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [27.07.2005 08:42 296515]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [27.07.2005 08:42 140865]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [27.07.2005 09:54 613204]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [27.07.2005 08:42 30528]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 22:09 135664]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [03.07.2010 17:15 1527900]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [03.07.2010 17:18 544768]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - INT15.SYS
.
Inhalt des "geplante Tasks" Ordners

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09]

2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]

2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]

2011-01-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]

2011-02-03 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://global.acer.com
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:Goerlitz.321-Vermittlung@arbeitsagentur.de
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Mozilla\Firefox\Profiles\o08x5uyu.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Explorer_Run-userini - c:\windows\system32\userini.exe
MSConfigStartUp-Easy-PrintToolBox - c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
MSConfigStartUp-SmartSoft PDF Printer Agent - c:\programme\Smart PDF Converter Pro\SmartSoft PDF Printer Agent.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-03 16:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2750354099-2568687214-281242410-1012\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4AB776DD-4C2A-70A9-C08A-A140C2632237}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iapgppacfncboapjmf"=hex:69,61,65,68,70,6d,70,64,62,6c,70,6a,6d,6b,6d,67,62,68,
   00,00
"hanfjfcgbkdpojne"=hex:69,61,65,68,70,6d,70,64,62,6c,70,6a,6d,6b,6d,67,62,68,
   00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3700)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\SOUNDMAN.EXE
c:\windows\eHome\ehmsas.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-03  16:05:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-03 15:05

Vor Suchlauf: 17 Verzeichnis(se), 87.063.814.144 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 87.058.300.928 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /fastdetect /NoExecute=OptOut

- - End Of File - - 8C7446C297423B7324AFE843514DE23F

--- --- ---

cosinus · 03.02.2011, 19:24

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Regnull::
[HKEY_USERS\S-1-5-21-2750354099-2568687214-281242410-1012\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4AB776DD-4C2A-70A9-C08A-A140C2632237}*]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Pentalong · 03.02.2011, 22:12

Alles gemacht, hier die Datei:
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-31.02 - ButterkeksJohnny 03.02.2011  21:58:16.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.599 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ButterkeksJohnny\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ButterkeksJohnny\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-03 bis 2011-02-03  ))))))))))))))))))))))))))))))
.

2011-02-01 17:31 . 2011-02-01 17:31	--------	d-----w-	c:\windows\Performance
2011-02-01 17:31 . 2011-02-01 17:31	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2011-02-01 17:30 . 2011-02-01 17:30	--------	d-----w-	c:\programme\Microsoft Windows 7 Upgrade Advisor
2011-01-30 09:51 . 2011-01-30 09:52	--------	d-----w-	c:\programme\ERUNT
2011-01-29 14:00 . 2011-01-29 14:00	--------	d-----w-	c:\programme\Microsoft Works
2011-01-29 12:29 . 2010-10-01 14:20	307200	----a-w-	c:\windows\system32\TubeFinder.exe
2011-01-29 12:29 . 2009-06-19 18:51	119568	----a-w-	c:\windows\system32\VB6FR.DLL
2011-01-29 12:29 . 2009-06-19 18:51	101888	----a-w-	c:\windows\system32\VB6STKIT.DLL
2011-01-29 12:29 . 2009-06-19 18:51	9728	----a-w-	c:\windows\system32\PCCLPFR.DLL
2011-01-29 12:29 . 2009-06-19 18:51	84512	----a-w-	c:\windows\system32\PICCLP32.OCX
2011-01-29 12:29 . 2009-06-19 18:51	364544	----a-w-	c:\windows\system32\PropertyGrid.ocx
2011-01-29 12:29 . 2009-06-19 18:51	141312	----a-w-	c:\windows\system32\MSCMCFR.DLL
2011-01-29 12:29 . 2011-01-29 12:31	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\FreeFLVConverter
2011-01-29 12:29 . 2011-01-29 12:29	--------	d-----w-	c:\programme\Free FLV Converter
2011-01-29 12:29 . 2009-06-19 18:51	32768	----a-w-	c:\windows\system32\CMDLGFR.DLL
2011-01-29 12:29 . 2009-06-19 18:51	24576	----a-w-	c:\windows\system32\ControlSubX.ocx
2011-01-29 12:29 . 2009-06-19 18:51	152848	----a-w-	c:\windows\system32\COMDLG32.OCX
2011-01-29 09:30 . 2011-01-29 09:30	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2011-01-26 10:59 . 2011-01-26 10:59	--------	d-----w-	C:\spoolerlogs
2011-01-25 17:57 . 2011-01-25 17:57	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-01-24 13:51 . 2011-01-24 13:57	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\PeaZip
2011-01-24 13:49 . 2011-01-24 13:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-01-13 10:47 . 2011-02-01 16:02	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\vlc
2011-01-12 06:31 . 2011-01-12 06:31	--------	d-----w-	c:\windows\system32\de
2011-01-12 06:31 . 2011-01-12 06:31	--------	d-----w-	c:\windows\l2schemas
2011-01-12 06:31 . 2011-01-12 06:31	--------	d-----w-	c:\windows\system32\bits
2011-01-05 12:18 . 2011-01-05 12:18	--------	d-sh--w-	c:\dokumente und einstellungen\ButterkeksJohnny\PrivacIE
2011-01-05 11:47 . 2011-01-05 11:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2011-01-05 11:32 . 2011-01-05 11:32	--------	d-----w-	c:\windows\system32\Adobe
2011-01-05 11:00 . 2011-01-05 11:00	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Lokale Einstellungen\Anwendungsdaten\Real
2011-01-05 11:00 . 2011-01-05 11:00	11776	----a-w-	c:\programme\Mozilla Firefox\plugins\nprjplug.dll
2011-01-05 10:59 . 2011-01-05 10:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\xing shared
2011-01-05 10:59 . 2011-01-05 10:59	151776	----a-w-	c:\programme\Mozilla Firefox\plugins\nppl3260.dll
2011-01-05 10:59 . 2011-01-05 10:59	100352	----a-w-	c:\programme\Mozilla Firefox\plugins\nprpjplug.dll
2011-01-05 10:40 . 2011-01-05 10:40	--------	d-----w-	c:\programme\MSECache
2011-01-05 10:34 . 2011-01-05 10:34	--------	d-----w-	c:\programme\Secunia
2011-01-05 09:39 . 2011-01-05 09:39	--------	d-----w-	c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Sytexis Software
2011-01-05 09:39 . 2011-01-24 14:24	--------	d-----w-	c:\programme\Sytexis Software

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-05 10:59 . 2003-03-18 21:14	499712	----a-w-	c:\windows\system32\msvcp71.dll
2011-01-05 10:59 . 2003-02-21 03:42	348160	----a-w-	c:\windows\system32\msvcr71.dll
2011-01-04 13:52 . 2011-01-04 13:53	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-01-04 13:52 . 2011-01-04 13:53	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-25 19:01 . 2010-04-11 10:22	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-07-11 08:51	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-07-11 08:51	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-28 09:47 . 2010-04-11 10:22	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

(((((((((((((((((((((((((((((   SnapShot@2011-02-03_15.01.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-02-03 20:48 . 2011-02-03 20:48	16384              c:\windows\temp\Perflib_Perfdata_738.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-01-05 274608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Secunia PSI Tray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk
backup=c:\windows\pss\Secunia PSI Tray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin210.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin210.exe.lnk
backup=c:\windows\pss\TrayMin210.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
2004-06-09 13:37	40960	----a-w-	c:\windows\VM_STI.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-01 06:32	421160	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44	248552	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2011-01-05 10:59	274608	----a-w-	c:\programme\Real\RealPlayer\Update\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1700:TCP"= 1700:TCP:MioNet Remote Drive Access
"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [27.07.2005 08:42 11970]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.04.2010 11:22 135336]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [27.07.2005 08:42 133696]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [27.07.2005 08:42 296515]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [27.07.2005 08:42 140865]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [27.07.2005 09:54 613204]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [27.07.2005 08:42 30528]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 22:09 135664]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [03.07.2010 17:15 1527900]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [03.07.2010 17:18 544768]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - INT15.SYS
.
Inhalt des "geplante Tasks" Ordners

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:09]

2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]

2011-02-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]

2011-01-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]

2011-02-03 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://global.acer.com
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:Goerlitz.321-Vermittlung@arbeitsagentur.de
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\ButterkeksJohnny\Anwendungsdaten\Mozilla\Firefox\Profiles\o08x5uyu.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-03 22:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1856)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2011-02-03  22:06:36
ComboFix-quarantined-files.txt  2011-02-03 21:06
ComboFix2.txt  2011-02-03 15:05

Vor Suchlauf: 17 Verzeichnis(se), 86.962.806.784 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 86.949.699.584 Bytes frei

- - End Of File - - EE8B826C9BC957F6A64DF0A8F5BF4A74

--- --- ---

cosinus · 04.02.2011, 10:55

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Pentalong · 04.02.2011, 17:15

GMER wollte nicht so, wie ich wollte- daher nur MBR und OSAM.
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 17:09:23 on 04.02.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeLogonTaskS-1-5-21-2750354099-2568687214-281242410-1012.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-2750354099-2568687214-281242410-1012.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"bdeadmin.cpl" - ? - C:\WINDOWS\system32\bdeadmin.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys
"agpcifoc" (agpcifoc) - ? - C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\agpcifoc.sys  (Hidden registry entry, rootkit activity | File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"int15.sys" (int15.sys) - ? - C:\Acer\Empowering Technology\eRecovery\int15.sys  (File found, but it contains no detailed information)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Symantec Network Security Intermediate Filter Service" (SymIM) - ? - C:\WINDOWS\System32\DRIVERS\SymIM.sys  (File not found)
"SymIMMP" (SymIMMP) - ? - C:\WINDOWS\System32\DRIVERS\SymIM.sys  (File not found)
"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys
"upperdev" (upperdev) - ? - C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Microsoft Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\realplayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{5464D816-CF16-4784-B9F3-75C0DB52B499} "YMailShellExt Class" - "Yahoo! Inc." - C:\PROGRA~1\Yahoo!\Common\ymmapi.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.5.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} "NCO Toolbar 2.0" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE} "EWPBrowseObject Class" - ? - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Sign-in Helper" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{02478D38-C3F9-4EFB-9B51-7695ECA05670} "{02478D38-C3F9-4EFB-9B51-7695ECA05670}" - ? -   (File not found | COM-object registry key not found)
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} "{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}" - ? -   (File not found | COM-object registry key not found)
{7E853D72-626A-48EC-A868-BA8D5E23E045} "{7E853D72-626A-48EC-A868-BA8D5E23E045}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ButterkeksJohnny\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"eRecoveryService" - "acer Inc." - C:\Acer\Empowering Technology\eRecovery\Monitor.exe
"LaunchApp" - "Acer Inc." - Alaunch
"MSPY2002" - ? - C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC  (File signed by Microsoft | File found, but it contains no detailed information)
"TkBellExe" - "RealNetworks, Inc." - "C:\programme\real\realplayer\update\realsched.exe"  -osboot

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatisches LiveUpdate - Scheduler" (Automatisches LiveUpdate - Scheduler) - ? - "C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MD Simple Burner Service" (NetMDSB) - ? - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe  (File not found)
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"UPnPService" (UPnPService) - "Magix AG" - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd

Kernel Drivers (total 143):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A10000 \WINDOWS\system32\KDCOM.DLL
0xF7920000 \WINDOWS\system32\BOOTVID.dll
0xF73E0000 ACPI.sys
0xF7A12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF73CF000 pci.sys
0xF7510000 isapnp.sys
0xF7520000 ohci1394.sys
0xF7530000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7AD8000 pciide.sys
0xF7790000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7540000 MountMgr.sys
0xF73B0000 ftdisk.sys
0xF7A14000 dmload.sys
0xF738A000 dmio.sys
0xF7798000 PartMgr.sys
0xF7550000 VolSnap.sys
0xF7372000 atapi.sys
0xF7560000 disk.sys
0xF7570000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7352000 fltmgr.sys
0xF7340000 sr.sys
0xF77A0000 PxHelp20.sys
0xF7329000 KSecDD.sys
0xF729C000 Ntfs.sys
0xF726F000 NDIS.sys
0xF7255000 Mup.sys
0xF69CD000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF6807000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF67F3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7858000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF67CF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7860000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF69BD000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF69AD000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF699D000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF67AC000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7A36000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0xF7868000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF698D000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6731000 \SystemRoot\system32\drivers\hcw88vid.sys
0xF697D000 \SystemRoot\system32\drivers\STREAM.SYS
0xF79E4000 \SystemRoot\system32\drivers\hcw88aud.sys
0xF66E8000 \SystemRoot\system32\drivers\hcw88tse.sys
0xF6359000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6335000 \SystemRoot\system32\drivers\portcls.sys
0xF75B0000 \SystemRoot\system32\drivers\drmk.sys
0xF79E8000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xF62EB000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xF62B4000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xF7870000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF75C0000 \SystemRoot\system32\DRIVERS\serial.sys
0xF79EC000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF62A0000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7C60000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7878000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xF7880000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF75D0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF79F4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6289000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75E0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75F0000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF6278000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7600000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7888000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7890000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6220000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7610000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7898000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF78A0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A38000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF61C2000 \SystemRoot\system32\DRIVERS\update.sys
0xF7229000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7660000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7670000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7A3E000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7680000 \SystemRoot\system32\drivers\HCW88BAR.sys
0xA8746000 \SystemRoot\system32\drivers\hcw88tun.sys
0xA8722000 \SystemRoot\system32\drivers\hcw88bda.sys
0xF79B4000 \SystemRoot\system32\drivers\BdaSup.SYS
0xF76A0000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xF78B0000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7A4C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B27000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A4E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78C0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF78C8000 \SystemRoot\System32\drivers\vga.sys
0xF7A50000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A52000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78D0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78D8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF79D4000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA79E7000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA798E000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA7966000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA7940000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA791E000 \SystemRoot\System32\drivers\afd.sys
0xF76C0000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF76D0000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF78E0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF76F0000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xA7853000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA77E3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7700000 \SystemRoot\System32\Drivers\Fips.SYS
0xF6264000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7710000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF78E8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA77BD000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7A56000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF78F0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF6258000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF7221000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA7771000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA7759000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A6A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA7A2E000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77F0000 \SystemRoot\System32\watchdog.sys
0xBE000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C1A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBE012000 \SystemRoot\System32\ati2dvag.dll
0xBE054000 \SystemRoot\System32\ati2cqag.dll
0xBE093000 \SystemRoot\System32\atikvmag.dll
0xBE0C9000 \SystemRoot\System32\ati3duag.dll
0xBE345000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA55B4000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA554E000 \SystemRoot\system32\DRIVERS\irda.sys
0xA55D9000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA52F1000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA51FD000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
0xA50CC000 \SystemRoot\System32\Drivers\HTTP.sys
0xA4F11000 \SystemRoot\system32\DRIVERS\srv.sys
0xA4EFC000 \SystemRoot\system32\drivers\wdmaud.sys
0xA5165000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7A82000 \SystemRoot\system32\drivers\MSPQM.sys
0xA48A7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA4385000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
0xA7739000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xA4342000 \??\C:\DOKUME~1\BUTTER~2\LOKALE~1\Temp\agpcifoc.sys
0xA4317000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
0 System Idle Process
4 System
668 C:\WINDOWS\system32\smss.exe
768 csrss.exe
796 C:\WINDOWS\system32\winlogon.exe
840 C:\WINDOWS\system32\services.exe
852 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1060 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1220 C:\WINDOWS\system32\svchost.exe
1344 svchost.exe
1420 svchost.exe
1660 C:\WINDOWS\system32\spoolsv.exe
1700 C:\Programme\Avira\AntiVir Desktop\sched.exe
1780 svchost.exe
1852 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1868 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1884 C:\Programme\Bonjour\mDNSResponder.exe
1924 C:\WINDOWS\ehome\ehrecvr.exe
1984 C:\WINDOWS\ehome\ehSched.exe
340 C:\Programme\Java\jre6\bin\jqs.exe
400 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
696 svchost.exe
988 C:\WINDOWS\system32\svchost.exe
292 C:\WINDOWS\system32\ati2evxx.exe
752 mcrdsvc.exe
1180 C:\WINDOWS\explorer.exe
2728 C:\WINDOWS\ehome\ehtray.exe
2744 C:\WINDOWS\soundman.exe
2816 C:\WINDOWS\ehome\ehmsas.exe
2836 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
2844 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2864 C:\Programme\Real\RealPlayer\Update\realsched.exe
3336 C:\WINDOWS\system32\dllhost.exe
3468 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3580 alg.exe
3492 C:\Programme\Mozilla Firefox\firefox.exe
2940 C:\Dokumente und Einstellungen\ButterkeksJohnny\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000025`cf4cbe00 (FAT32)

PhysicalDrive0 Model Number: WDCWD3200JD-00KLB0, Rev: 08.05J08

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

cosinus · 04.02.2011, 20:27

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Pentalong · 05.02.2011, 18:08

Erstmal sorry, dass die Antwort so lang auf sich warten ließ.

Ja, ich hab nur XP drauf, daher hier das Log.

Bootkit Remover
(c) 2009 eSage Lab
eSage Lab - Digital security research and consulting - Main

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Done;
Press any key to quit...

Übrigens scheint inzwischen symptomatisch alles ok zu sein.

Pentalong · 05.02.2011, 18:10

sorry, hatte den Beitrag zwei Mal hochgestellt...

Pentalong · 06.02.2011, 18:31

Antivir hat grad noch einen Trojaner gefunden:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 6. Februar 2011 18:18

Es wird nach 2456743 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER-21FDDD6C59

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 12.12.2010 20:20:25
AVSCAN.DLL : 10.0.3.0 56168 Bytes 12.05.2010 09:42:06
LUKE.DLL : 10.0.3.2 104296 Bytes 12.12.2010 20:20:26
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:10:13
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 22:10:13
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 22:10:13
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 22:10:13
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 22:10:13
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 22:10:13
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 22:10:13
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 22:10:14
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 22:10:14
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 22:10:14
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 22:10:14
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 22:10:14
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 19:01:53
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 19:01:53
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 19:01:53
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 19:01:53
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 10:47:52
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 19:46:13
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 15:52:28
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 15:27:12
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 10:30:04
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 10:30:05
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:29:34
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 14:29:44
VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 14:29:53
VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 17:29:57
VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 12:51:14
VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 13:00:53
VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 16:34:57
VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 16:34:57
VBASE031.VDF : 7.11.2.80 2048 Bytes 04.02.2011 16:34:57
Engineversion : 8.2.4.162
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 08:34:57
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 12:51:23
AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 09:47:03
AESBX.DLL : 8.1.3.2 254324 Bytes 28.11.2010 09:47:04
AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:42:00
AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 12:51:21
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 12:51:20
AEHEUR.DLL : 8.1.2.73 3207541 Bytes 04.02.2011 15:51:43
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 15:51:40
AEGEN.DLL : 8.1.5.2 397683 Bytes 20.01.2011 14:30:09
AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 09:47:01
AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 14:29:59
AEBB.DLL : 8.1.1.0 53618 Bytes 12.05.2010 09:42:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 11:10:13
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 12.12.2010 20:20:25
AVARKT.DLL : 10.0.22.6 231784 Bytes 12.12.2010 20:20:25
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 11:10:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_c5168802\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Sonntag, 6. Februar 2011 18:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP396\A0099376.sys'
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP396\A0099376.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f3e794d.qua' verschoben!

Ende des Suchlaufs: Sonntag, 6. Februar 2011 18:18
Benötigte Zeit: 00:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
37 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
36 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

cosinus · 06.02.2011, 21:03

Sry ich meinte natürlich MBRCheck und nicht den BootKit Remover (hab noch einen alten Textbaustein, den ich mal aktualisieren muss

)

Deaktiviere auch die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten

Plagegeister aller Art und deren Bekämpfung: Firefox öffnet automatisch attakierende Websites und weitere Kuriositäten