Hallo,

Ich habe ein Problem mit dem Virus BOO/Whistler.A. Die Suche auf Google bringt nur 2 brauchbare Ergebnisse. Eines führt in dieses Forum (Fall wurde noch nicht bearbeitet) und beim zweiten in ein engl. Forum (auch noch nicht gelöst und von heute).

Das Problem:

AntiVir hat mir heute Morgen folgenedes gemeldet:

Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Whistler.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Whistler.A.

Danach hat mich Antivir durch ein pop-up unten rechts zum entfernen der Datei aufgefordert. Habe ich angeklickt, aber die Datei wurde weiterhin von Antivir gefunden.

Nach dem Neustart konnte ich nicht mehr über den Arbeitsplatz auf das Laufwerk D: zugreifen und auch unter start->ausführen wird D: als nicht vorhanden gemeldet.

Hab dann Malewarebytes installiert und einen vollscann ausgeführt. Zu beachten ist, dass ein Zugriff auf D: bei allen nachfolgenden Scans nicht Möglich war.

Nun bin ich nach der Anleitung im Forum vorgegangen. Leider hab nicht rausgefunden, wie ich die Logifles direkt in einem Fenster in meinem Post veröffentlichen kann, daher alle Logfiles im Anhang:

1.Schritt

defogger -> durchgeführt

2.Schritt

OTL Scan vorgenommen

4. Schritt

Gmer gescannt

5. Schritt

Malwarebytes logfile.


Ich hoffe es hat jemand eine Idee. Falls ich die Logfiles im post integieren soll, bräuchte ich dafür schon einen Tipp Danke

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,

Also ich hab noch 3 weitere Dateien gefunden. Mehr ist aber nicht unter dem Reiter Logdateien im Maleware gespeichert.

Hier noch die zusätzlichen Infos aus dem Antivirbericht:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Whistler.A
[HINWEIS] Der Sektor wurde erfolgreich neu geschrieben!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Whistler.A
[HINWEIS] Der Bootsektor wurde nicht repariert

Ich hatte den Suchlauf aber nicht komplett beendet, was wahrschienlich nicht sehr sinnvoll war.

Bei der ersten Warnung meinte Antivir, dass Boo/Whistler.A unter C:\WINDOWS\system32\NtmsData zu finden ist. Leider weiß ich den exakten Namen der Datei nicht mehr und Antivir findet den Fehler nicht mehr.


Grüße

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo,

Also ich kann noch auf alle Daten auf C: zugreifen. Hab zwei Festplatten und das gesamte System ist auf C: gespeichert. Auf D:sind meine persönlichen Daten gespeichert, auf die ich momentan nicht zugreifen kann.

E:-F: steht für Wechseldatenträger und I: und J: sind Laufwerke, falls die Infos wichtig sind.


Anbei der Logfile von TDSS-Killer

Grüße

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hey Arne,

anbei die Log Datei von Combofix. Ich hab die Wiederherstellungskonsole noch nicht installiert, weil ich in dem moment nicht im Netz war. Soll ich Combofix erneut ausführen?

Anbei die Log Datei:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-07-14.03 - kingkong 14.07.2011  17:34:42.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1389 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\kingkong\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\lsprst7.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-14 bis 2011-07-14  ))))))))))))))))))))))))))))))
.
.
2011-07-13 13:47 . 2011-07-13 13:47	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\Malwarebytes
2011-07-13 13:47 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-13 13:47 . 2011-07-13 13:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-13 13:46 . 2011-05-29 07:11	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-13 13:46 . 2011-07-13 13:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-07-13 09:55 . 2011-07-14 10:15	--------	d-----w-	c:\windows\system32\NtmsData
2011-07-02 16:41 . 2011-07-02 16:41	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\DVDVideoSoft
2011-07-02 16:40 . 2011-07-02 16:45	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2011-07-02 16:40 . 2011-07-02 16:45	--------	d-----w-	c:\programme\DVDVideoSoft
2011-07-01 18:05 . 2011-07-01 18:05	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2011-06-25 18:38 . 2011-07-09 18:54	--------	d-----w-	C:\downloads
2011-06-25 18:38 . 2011-06-25 18:38	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\FMZilla
2011-06-25 18:38 . 2011-07-09 19:13	--------	d-----w-	c:\programme\Free Music Zilla
2011-06-24 13:22 . 2011-06-24 13:22	2106216	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-06-24 13:22 . 2011-06-24 13:22	1998168	----a-w-	c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-06-22 17:12 . 2008-04-14 12:00	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2011-06-22 14:53 . 2011-06-22 17:07	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\vlc
2011-06-22 14:50 . 2011-06-22 14:50	--------	d-----w-	c:\programme\VideoLAN
2011-06-22 14:38 . 2008-04-14 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2011-06-22 14:38 . 2011-06-22 14:38	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-06-22 14:36 . 2011-06-22 14:37	--------	d-----w-	c:\windows\system32\drivers\UMDF
2011-06-22 14:36 . 2011-06-22 14:36	--------	d-----w-	c:\windows\system32\LogFiles
2011-06-22 13:26 . 2011-06-22 13:26	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Eigene Dokumente
2011-06-22 13:26 . 2011-06-22 13:26	--------	d-----w-	c:\dokumente und einstellungen\kingkong\.spss
2011-06-22 09:53 . 2011-06-22 09:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel
2011-06-22 09:52 . 2011-06-22 09:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\SPSS
2011-06-22 09:52 . 2011-06-22 09:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SPSS
2011-06-22 09:51 . 2011-06-22 09:51	--------	d-----w-	c:\programme\SPSSInc
2011-06-22 09:51 . 2011-06-22 09:51	1025	----a-w-	c:\windows\system32\sysprs7.dll
2011-06-21 17:19 . 2011-06-21 17:19	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\Apple Computer
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-01 18:04 . 2011-04-01 15:56	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-07-01 18:04 . 2011-04-01 15:56	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-06-21 16:48 . 2011-05-18 11:56	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-06 11:35 . 2008-04-14 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-05-04 02:52 . 2011-05-17 17:48	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-05-04 00:25 . 2011-05-17 17:48	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-05-02 15:31 . 2011-04-01 15:17	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2008-04-14 12:00	151552	----a-w-	c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2008-04-14 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2008-04-14 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2008-04-14 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-04-25 15:44 . 2008-04-14 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 15:44 . 2008-04-14 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-25 15:44 . 2008-04-14 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-04-25 15:44 . 2008-04-14 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2011-04-25 12:01 . 2008-04-14 12:00	389120	----a-w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 2008-04-14 12:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
2011-04-18 15:38 . 2011-04-18 15:38	218688	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2011-06-24 13:22 . 2011-04-01 15:58	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBPanel"="c:\programme\Vtune ATI\TBPanel.exe" [2008-08-06 2281472]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-06-15 15141768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2011-5-18 6144]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\WinWrapIDE.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.com"=
"c:\\Programme\\Free Music Zilla\\FMZilla.exe"=
.
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [18.04.2011 17:38 218688]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.04.2011 17:56 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.07.2011 15:47 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13.07.2011 15:46 22712]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\dokumente und einstellungen\kingkong\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\kingkong\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\kingkong\Anwendungsdaten\Mozilla\Firefox\Profiles\m4jwmmpc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-HijackThis - d:\programme\Trend Micro\HijackThis\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-14 17:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(808)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-07-14  17:40:32
ComboFix-quarantined-files.txt  2011-07-14 15:40
.
Vor Suchlauf: 8 Verzeichnis(se), 224.949.121.024 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 225.703.944.192 Bytes frei
.
- - End Of File - - 9172C8AFF772BDE228ED8663888D82D3
         

--- --- ---

Wir brauchen die Wiederherstellungskonsole:

Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt)



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Runtergeladen und installiert.

Anbei der neue Logfile von Combofix:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-07-14.03 - kingkong 14.07.2011  19:02:07.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1389 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\kingkong\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\kingkong\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-14 bis 2011-07-14  ))))))))))))))))))))))))))))))
.
.
2011-07-13 13:47 . 2011-07-13 13:47	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\Malwarebytes
2011-07-13 13:47 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-13 13:47 . 2011-07-13 13:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-13 13:46 . 2011-05-29 07:11	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-13 13:46 . 2011-07-13 13:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-07-13 09:55 . 2011-07-14 10:15	--------	d-----w-	c:\windows\system32\NtmsData
2011-07-02 16:41 . 2011-07-02 16:41	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\DVDVideoSoft
2011-07-02 16:40 . 2011-07-02 16:45	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2011-07-02 16:40 . 2011-07-02 16:45	--------	d-----w-	c:\programme\DVDVideoSoft
2011-07-01 18:05 . 2011-07-01 18:05	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2011-06-25 18:38 . 2011-07-09 18:54	--------	d-----w-	C:\downloads
2011-06-25 18:38 . 2011-06-25 18:38	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\FMZilla
2011-06-25 18:38 . 2011-07-09 19:13	--------	d-----w-	c:\programme\Free Music Zilla
2011-06-24 13:22 . 2011-06-24 13:22	2106216	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-06-24 13:22 . 2011-06-24 13:22	1998168	----a-w-	c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-06-22 17:12 . 2008-04-14 12:00	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2011-06-22 14:53 . 2011-06-22 17:07	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\vlc
2011-06-22 14:50 . 2011-06-22 14:50	--------	d-----w-	c:\programme\VideoLAN
2011-06-22 14:38 . 2008-04-14 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2011-06-22 14:38 . 2011-06-22 14:38	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-06-22 14:36 . 2011-06-22 14:37	--------	d-----w-	c:\windows\system32\drivers\UMDF
2011-06-22 14:36 . 2011-06-22 14:36	--------	d-----w-	c:\windows\system32\LogFiles
2011-06-22 13:26 . 2011-06-22 13:26	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Eigene Dokumente
2011-06-22 13:26 . 2011-06-22 13:26	--------	d-----w-	c:\dokumente und einstellungen\kingkong\.spss
2011-06-22 09:53 . 2011-06-22 09:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel
2011-06-22 09:52 . 2011-06-22 09:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\SPSS
2011-06-22 09:52 . 2011-06-22 09:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SPSS
2011-06-22 09:51 . 2011-06-22 09:51	--------	d-----w-	c:\programme\SPSSInc
2011-06-22 09:51 . 2011-06-22 09:51	1025	----a-w-	c:\windows\system32\sysprs7.dll
2011-06-21 17:19 . 2011-06-21 17:19	--------	d-----w-	c:\dokumente und einstellungen\kingkong\Anwendungsdaten\Apple Computer
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-01 18:04 . 2011-04-01 15:56	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-07-01 18:04 . 2011-04-01 15:56	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-06-21 16:48 . 2011-05-18 11:56	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-06 11:35 . 2008-04-14 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-05-04 02:52 . 2011-05-17 17:48	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-05-04 00:25 . 2011-05-17 17:48	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-05-02 15:31 . 2011-04-01 15:17	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2008-04-14 12:00	151552	----a-w-	c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2008-04-14 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2008-04-14 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2008-04-14 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-04-25 15:44 . 2008-04-14 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 15:44 . 2008-04-14 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-25 15:44 . 2008-04-14 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-04-25 15:44 . 2008-04-14 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2011-04-25 12:01 . 2008-04-14 12:00	389120	----a-w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 2008-04-14 12:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
2011-04-18 15:38 . 2011-04-18 15:38	218688	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2011-06-24 13:22 . 2011-04-01 15:58	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-07-14_15.39.04   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-14 16:55 . 2011-07-14 16:55	16384              c:\windows\Temp\Perflib_Perfdata_394.dat
- 2008-04-14 12:00 . 2011-07-14 15:28	68156              c:\windows\system32\perfc009.dat
+ 2008-04-14 12:00 . 2011-07-14 16:59	68156              c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2011-07-14 15:28	80920              c:\windows\system32\perfc007.dat
+ 2008-04-14 12:00 . 2011-07-14 16:59	80920              c:\windows\system32\perfc007.dat
+ 2008-04-14 12:00 . 2011-07-14 16:59	435260              c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2011-07-14 15:28	435260              c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2011-07-14 15:28	451980              c:\windows\system32\perfh007.dat
+ 2008-04-14 12:00 . 2011-07-14 16:59	451980              c:\windows\system32\perfh007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBPanel"="c:\programme\Vtune ATI\TBPanel.exe" [2008-08-06 2281472]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-06-15 15141768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2011-5-18 6144]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\WinWrapIDE.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.com"=
"c:\\Programme\\Free Music Zilla\\FMZilla.exe"=
.
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [18.04.2011 17:38 218688]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.04.2011 17:56 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.07.2011 15:47 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13.07.2011 15:46 22712]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\dokumente und einstellungen\kingkong\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\kingkong\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\kingkong\Anwendungsdaten\Mozilla\Firefox\Profiles\m4jwmmpc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-14 19:05
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2220)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-07-14  19:07:22
ComboFix-quarantined-files.txt  2011-07-14 17:07
ComboFix2.txt  2011-07-14 15:40
.
Vor Suchlauf: 9 Verzeichnis(se), 225.670.615.040 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 225.660.223.488 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 7E7582DC22AA41020B3F25474FDF5DB7
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Anbei die Logfiles

1.GMER
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15640 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-14 20:42:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3250823AS rev.3.03
Running: 1hgwih5e.exe; Driver: C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys


---- System - GMER 1.0.15 ----

SSDT   F7B78DFC                                                                                                                       ZwClose
SSDT   F7B78DB6                                                                                                                       ZwCreateKey
SSDT   F7B78E06                                                                                                                       ZwCreateSection
SSDT   F7B78DAC                                                                                                                       ZwCreateThread
SSDT   F7B78DBB                                                                                                                       ZwDeleteKey
SSDT   F7B78DC5                                                                                                                       ZwDeleteValueKey
SSDT   F7B78DF7                                                                                                                       ZwDuplicateObject
SSDT   F7B78DCA                                                                                                                       ZwLoadKey
SSDT   F7B78D98                                                                                                                       ZwOpenProcess
SSDT   F7B78D9D                                                                                                                       ZwOpenThread
SSDT   F7B78DD4                                                                                                                       ZwReplaceKey
SSDT   F7B78DCF                                                                                                                       ZwRestoreKey
SSDT   F7B78E0B                                                                                                                       ZwSetContextThread
SSDT   F7B78DC0                                                                                                                       ZwSetValueKey
SSDT   F7B78DA7                                                                                                                       ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                       section is writeable [0xF6542000, 0x19DA46, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[368] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00F42BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[368] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00F42CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[368] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00F42CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- EOF - GMER 1.0.15 ----
         

--- --- ---

2. OSAM
OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 20:47:03 on 14.07.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 5.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\kingkong\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"DAEMON Tools Virtual Bus Driver" (dtsoftbus01) - "DT Soft Ltd" - C:\WINDOWS\System32\DRIVERS\dtsoftbus01.sys
"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kwlirpob" (kwlirpob) - ? - C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"speedfan" (speedfan) - "Almico Software" - C:\WINDOWS\System32\speedfan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Team MFP Comm Driver" (DgiVecp) - "DeviceGuys, Inc." - C:\WINDOWS\System32\Drivers\DgiVecp.sys
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\kingkong\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"TBPanel" - ? - C:\Programme\Vtune ATI\TBPanel.exe /A
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"GrooveMonitor" - "Microsoft Corporation" - "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"Samsung Common SM" - "Samsung Electronics." - "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDF reDirect Monitor" - ? - C:\WINDOWS\system32\PDFreDirectMonNT.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

3.MBR

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007f4

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 ohci1394.sys
0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 PCIIde.sys
0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF74B7000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798D000 dmload.sys
0xF7301000 dmio.sys
0xF770F000 PartMgr.sys
0xF74C7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF74D7000 disk.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF72C9000 fltMgr.sys
0xF72B7000 sr.sys
0xF72A0000 KSecDD.sys
0xF7213000 Ntfs.sys
0xF71E6000 NDIS.sys
0xF789B000 speedfan.sys
0xF71CC000 Mup.sys
0xF7A50000 giveio.sys
0xF7517000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6541000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF652D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6505000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF782F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF64E1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7837000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF783F000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF76E7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF797F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF64CD000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7847000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7527000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7537000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF64AA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7547000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF648B000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF7B6F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7557000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71A0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6474000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7567000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7577000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF784F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6463000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7587000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7857000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF785F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6433000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7597000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7867000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6335000 \SystemRoot\system32\DRIVERS\update.sys
0xF6A64000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF62FA000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
0xF75A7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E2000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BE000 \SystemRoot\system32\drivers\portcls.sys
0xF75D7000 \SystemRoot\system32\drivers\drmk.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B50000 \SystemRoot\System32\Drivers\Null.SYS
0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7887000 \SystemRoot\System32\drivers\vga.sys
0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF788F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF771F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF793B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE763000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE70A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE6E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAE6BC000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE69A000 \SystemRoot\System32\drivers\afd.sys
0xF7607000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7737000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAE66F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7617000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE5D7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7627000 \SystemRoot\System32\Drivers\Fips.SYS
0xF773F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF774F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAE510000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7963000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7647000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7757000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79B7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF775F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7667000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7677000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7967000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAE4F8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79B9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF41B5000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7767000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AA1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF061000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF151000 \SystemRoot\System32\atiok3x2.dll
0xBF194000 \SystemRoot\System32\ati3duag.dll
0xBF531000 \SystemRoot\System32\ativvaxx.dll
0xBF73C000 \SystemRoot\System32\ATMFD.DLL
0xAC190000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAC2C7000 \??\C:\WINDOWS\system32\drivers\mbam.sys
0xAC1CF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xABF23000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7687000 \SystemRoot\system32\drivers\sysaudio.sys
0xABDE0000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7995000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAB7D0000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xAB9A0000 \SystemRoot\System32\Drivers\DgiVecp.sys
0xAB688000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB15E000 \SystemRoot\System32\Drivers\HTTP.sys
0xAB2DF000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0xAAE9A000 \??\C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
772 csrss.exe
808 C:\WINDOWS\system32\winlogon.exe
852 C:\WINDOWS\system32\services.exe
864 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1064 C:\WINDOWS\system32\svchost.exe
1132 svchost.exe
1244 C:\WINDOWS\system32\svchost.exe
1360 svchost.exe
1440 svchost.exe
1544 C:\WINDOWS\system32\ati2evxx.exe
1580 C:\WINDOWS\system32\spoolsv.exe
1708 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 svchost.exe
608 C:\WINDOWS\explorer.exe
1600 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
1524 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1632 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
1704 C:\WINDOWS\Samsung\ComSMMgr\SSMMgr.exe
1744 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1776 C:\Programme\Vtune ATI\TBPANEL.exe
1984 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
272 C:\Programme\Avira\AntiVir Desktop\avguard.exe
324 C:\Programme\Bonjour\mDNSResponder.exe
368 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1096 C:\Programme\Java\jre6\bin\jqs.exe
1144 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2076 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
2300 C:\WINDOWS\system32\ctfmon.exe
3568 alg.exe
2900 C:\Programme\Samsung ML-2010 Series\CommonSM\CommonSM.exe
1912 C:\Dokumente und Einstellungen\kingkong\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Anbei die Logfiles:

1.GMER

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15640 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-14 20:42:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3250823AS rev.3.03
Running: 1hgwih5e.exe; Driver: C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys


---- System - GMER 1.0.15 ----

SSDT   F7B78DFC                                                                                                                       ZwClose
SSDT   F7B78DB6                                                                                                                       ZwCreateKey
SSDT   F7B78E06                                                                                                                       ZwCreateSection
SSDT   F7B78DAC                                                                                                                       ZwCreateThread
SSDT   F7B78DBB                                                                                                                       ZwDeleteKey
SSDT   F7B78DC5                                                                                                                       ZwDeleteValueKey
SSDT   F7B78DF7                                                                                                                       ZwDuplicateObject
SSDT   F7B78DCA                                                                                                                       ZwLoadKey
SSDT   F7B78D98                                                                                                                       ZwOpenProcess
SSDT   F7B78D9D                                                                                                                       ZwOpenThread
SSDT   F7B78DD4                                                                                                                       ZwReplaceKey
SSDT   F7B78DCF                                                                                                                       ZwRestoreKey
SSDT   F7B78E0B                                                                                                                       ZwSetContextThread
SSDT   F7B78DC0                                                                                                                       ZwSetValueKey
SSDT   F7B78DA7                                                                                                                       ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                       section is writeable [0xF6542000, 0x19DA46, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[368] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00F42BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[368] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00F42CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[368] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00F42CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- EOF - GMER 1.0.15 ----
         

--- --- ---


2. OSAM

OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 20:47:03 on 14.07.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 5.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\kingkong\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"DAEMON Tools Virtual Bus Driver" (dtsoftbus01) - "DT Soft Ltd" - C:\WINDOWS\System32\DRIVERS\dtsoftbus01.sys
"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kwlirpob" (kwlirpob) - ? - C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"speedfan" (speedfan) - "Almico Software" - C:\WINDOWS\System32\speedfan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Team MFP Comm Driver" (DgiVecp) - "DeviceGuys, Inc." - C:\WINDOWS\System32\Drivers\DgiVecp.sys
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\kingkong\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"TBPanel" - ? - C:\Programme\Vtune ATI\TBPanel.exe /A
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"GrooveMonitor" - "Microsoft Corporation" - "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"Samsung Common SM" - "Samsung Electronics." - "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDF reDirect Monitor" - ? - C:\WINDOWS\system32\PDFreDirectMonNT.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

3.MBR

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007f4

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 ohci1394.sys
0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 PCIIde.sys
0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF74B7000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798D000 dmload.sys
0xF7301000 dmio.sys
0xF770F000 PartMgr.sys
0xF74C7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF74D7000 disk.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF72C9000 fltMgr.sys
0xF72B7000 sr.sys
0xF72A0000 KSecDD.sys
0xF7213000 Ntfs.sys
0xF71E6000 NDIS.sys
0xF789B000 speedfan.sys
0xF71CC000 Mup.sys
0xF7A50000 giveio.sys
0xF7517000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6541000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF652D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6505000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF782F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF64E1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7837000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF783F000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF76E7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF797F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF64CD000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7847000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7527000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7537000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF64AA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7547000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF648B000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF7B6F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7557000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71A0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6474000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7567000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7577000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF784F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6463000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7587000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7857000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF785F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6433000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7597000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7867000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6335000 \SystemRoot\system32\DRIVERS\update.sys
0xF6A64000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF62FA000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
0xF75A7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E2000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BE000 \SystemRoot\system32\drivers\portcls.sys
0xF75D7000 \SystemRoot\system32\drivers\drmk.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B50000 \SystemRoot\System32\Drivers\Null.SYS
0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7887000 \SystemRoot\System32\drivers\vga.sys
0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF788F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF771F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF793B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE763000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE70A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE6E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAE6BC000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE69A000 \SystemRoot\System32\drivers\afd.sys
0xF7607000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7737000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAE66F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7617000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE5D7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7627000 \SystemRoot\System32\Drivers\Fips.SYS
0xF773F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF774F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAE510000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7963000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7647000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7757000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79B7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF775F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7667000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7677000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7967000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAE4F8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79B9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF41B5000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7767000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AA1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF061000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF151000 \SystemRoot\System32\atiok3x2.dll
0xBF194000 \SystemRoot\System32\ati3duag.dll
0xBF531000 \SystemRoot\System32\ativvaxx.dll
0xBF73C000 \SystemRoot\System32\ATMFD.DLL
0xAC190000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAC2C7000 \??\C:\WINDOWS\system32\drivers\mbam.sys
0xAC1CF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xABF23000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7687000 \SystemRoot\system32\drivers\sysaudio.sys
0xABDE0000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7995000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAB7D0000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xAB9A0000 \SystemRoot\System32\Drivers\DgiVecp.sys
0xAB688000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB15E000 \SystemRoot\System32\Drivers\HTTP.sys
0xAB2DF000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0xAAE9A000 \??\C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
772 csrss.exe
808 C:\WINDOWS\system32\winlogon.exe
852 C:\WINDOWS\system32\services.exe
864 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1064 C:\WINDOWS\system32\svchost.exe
1132 svchost.exe
1244 C:\WINDOWS\system32\svchost.exe
1360 svchost.exe
1440 svchost.exe
1544 C:\WINDOWS\system32\ati2evxx.exe
1580 C:\WINDOWS\system32\spoolsv.exe
1708 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 svchost.exe
608 C:\WINDOWS\explorer.exe
1600 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
1524 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1632 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
1704 C:\WINDOWS\Samsung\ComSMMgr\SSMMgr.exe
1744 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1776 C:\Programme\Vtune ATI\TBPANEL.exe
1984 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
272 C:\Programme\Avira\AntiVir Desktop\avguard.exe
324 C:\Programme\Bonjour\mDNSResponder.exe
368 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1096 C:\Programme\Java\jre6\bin\jqs.exe
1144 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2076 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
2300 C:\WINDOWS\system32\ctfmon.exe
3568 alg.exe
2900 C:\Programme\Samsung ML-2010 Series\CommonSM\CommonSM.exe
1912 C:\Dokumente und Einstellungen\kingkong\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Moin,

Nur SUPERAntiSpyware hat 19 cookies gefunden, die hab ich gelöscht. Festplatte fehlt leider noch. Anbei die Logs:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7143

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

15.07.2011 11:24:12
mbam-log-2011-07-15 (11-24-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 225150
Laufzeit: 56 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

SuperAntiSpyware

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/15/2011 at 12:40 PM

Application Version : 4.55.1000

Core Rules Database Version : 7411
Trace Rules Database Version: 5223

Scan type       : Complete Scan
Total Scan Time : 01:06:04

Memory items scanned      : 630
Memory threats detected   : 0
Registry items scanned    : 6764
Registry threats detected : 0
File items scanned        : 76722
File threats detected     : 19

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@doubleclick[2].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@ad.yieldmanager[2].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@atdmt[2].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@tracking.quisma[1].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@smartadserver[2].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@content.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@adx.chip[2].txt
	C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@invitemedia[2].txt
	cdn1.static1.****.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	cdn2.themis-media.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	counter.***.ru [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	media.mtvnservices.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	media1.break.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	www.***.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	www.kronosmedia.de [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	www.***.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	www.yourdailymedia.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
	yourdailymedia.com [ C:\Dokumente und Einstellungen\kingkong\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DV8K8DX6 ]
         

ESET

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=6217fa2cf843d84bb2cd18d7e218bc8b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-15 01:57:02
# local_time=2011-07-15 03:57:02 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775141 100 93 234372 47274650 162523 0
# compatibility_mode=8192 67108863 100 0 176 176 0 0
# scanned=77284
# found=0
# cleaned=0
# scan_time=3993
         

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?