Weisser Bildschirm ohne Taskleiste, Taskmanager nicht verfuegbar

JoPa · 24.09.2012, 22:27

Guten Abend,

hier die Logs:

[code]
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-09-24 22:51:04
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3160021A rev.3.04
Running: 33t3fo83.exe; Driver: C:\DOKUME~1\Joachim\LOKALE~1\Temp\ufryapog.sys


---- System - GMER 1.0.15 ----

SSDT            F7CEE19C                                  ZwClose
SSDT            F7CEE156                                  ZwCreateKey
SSDT            F7CEE1A6                                  ZwCreateSection
SSDT            F7CEE14C                                  ZwCreateThread
SSDT            F7CEE15B                                  ZwDeleteKey
SSDT            F7CEE165                                  ZwDeleteValueKey
SSDT            F7CEE197                                  ZwDuplicateObject
SSDT            F7CEE16A                                  ZwLoadKey
SSDT            F7CEE138                                  ZwOpenProcess
SSDT            F7CEE13D                                  ZwOpenThread
SSDT            F7CEE1BF                                  ZwQueryValueKey
SSDT            F7CEE174                                  ZwReplaceKey
SSDT            F7CEE1B0                                  ZwRequestWaitReplyPort
SSDT            F7CEE16F                                  ZwRestoreKey
SSDT            F7CEE1AB                                  ZwSetContextThread
SSDT            F7CEE1B5                                  ZwSetSecurityObject
SSDT            F7CEE160                                  ZwSetValueKey
SSDT            F7CEE1BA                                  ZwSystemDebugControl
SSDT            F7CEE147                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF60243A0, 0x59FFE5, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                    sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume5    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume6    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume7    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume8    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume9    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume10   snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \FileSystem\Fastfat \Fat                  sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice  \FileSystem\Fastfat \Fat                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

Code:

ATTFilter

OSAM Logfile:

	Code: 

 ATTFilter

  
	Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:00:08 on 24.09.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"bdeadmin.cpl" - ? - C:\WINDOWS\system32\bdeadmin.cpl
"Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl
"ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"TWKDIAG.CPL" - "SCM Microsystems" - C:\WINDOWS\system32\TWKDIAG.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis TrueImage Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis TrueImage FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Add Performance Filter Driver" (sisperf) - "Silicon Integrated Systems Corp." - C:\WINDOWS\System32\drivers\sisperf.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Joachim\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"CHIPDRIVE Maus Adapter" (TwkMs) - "Towitoko AG" - C:\WINDOWS\system32\drivers\TwkMs.sys
"CHIPDRIVE PC/SC Drivers" (TwkPCSC) - "Towitoko AG" - C:\WINDOWS\system32\drivers\TwkPCSC.sys
"CHIPDRIVE Plug and Play driver" (TWKPNP) - "Towitoko AG" - C:\WINDOWS\System32\DRIVERS\TWKPNP.SYS
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"esgiguard" (esgiguard) - ? - C:\Programme\Enigma Software Group\SpyHunter\esgiguard.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - D:\PortableApps\Everest Ultimate Edition v.5.30.2032 beta (portable)\kerneld.wnt  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"sisidex" (sisidex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\drivers\sisidex.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"ufryapog" (ufryapog) - ? - C:\DOKUME~1\Joachim\LOKALE~1\Temp\ufryapog.sys  (Hidden registry entry, rootkit activity | File not found)
"VClone" (VClone) - "Elaborate Bytes AG" - C:\WINDOWS\System32\DRIVERS\VClone.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807573E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{5D924130-4CB1-11DB-B0DE-0800200C9A66} "BRU context menu handler" - "Bulk Rename Utility" - C:\Programme\Bulk Rename Utility\BRUhere.dll
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1B96FAD8-1C10-416E-8027-6EFF94045F6F} "FoxitPDFPreviewHandlerHost Class" - "Foxit Corporation" - C:\Programme\Foxit Software\Foxit Reader\Shell Extensions\FoxitPrevhost.exe
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll
{0875DCB6-C686-4243-9432-ADCCF0B9F2D7} "Microsoft OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONFILTER.DLL
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{B7056B8E-4F99-44f8-8CBD-282390FE5428} "VirtualCloneDrive Shell Extension" - "Elaborate Bytes AG" - C:\Programme\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
{65EEE2E1-B8D5-4724-8489-048B551045BF} "Security-Plugin-HBCI-Chipcard" - "PPI AG" - C:\WINDOWS\DOWNLO~1\SECURI~1.OCX / https://karte.santanderbank.de/gei/plugins/SantanderChipcardPlugin2610.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash32_11_3_300_257.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\legitcheckcontrol.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
"FlashGet" - "FlashGet.com" - C:\PROGRA~1\FlashGet\FlashGet.exe
{FFFDC614-B694-4AE6-AB38-5D6374584B52} "Verknüpfte &OneNote-Notizen" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{E0E899AB-F487-11D5-8D29-0050BA6940E3} "FlashGet Bar" - "Amaze Soft" - C:\PROGRA~1\FlashGet\fgiebar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} "FGCatchUrl" - "www.flashget.com" - C:\PROGRA~1\FlashGet\jccatch_1.dll
{F156768E-81EF-470C-9057-481BA8380DBA} "FlashGet GetFlash Class" - "www.flashget.com" - C:\PROGRA~1\FlashGet\getflash.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{B4F3A835-0E21-4959-BA22-42B3008E02FF} "Office Document Cache Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Joachim\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
"VirtualCloneDrive" - "Elaborate Bytes AG" - "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"pdfcmon" - "pdfforge GbR" - C:\WINDOWS\system32\pdfcmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"CHIPDRIVE SCARD Service" (TWKSCARDSRV) - "SCM Microsystems" - C:\WINDOWS\SCARDS32.EXE
"MBAMScheduler" (MBAMScheduler) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Office Software Protection Platform" (osppsvc) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"SpyHunter 4 Service" (SpyHunter 4 Service) - "Enigma Software Group USA, LLC." - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
 --- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-24 23:17:02
-----------------------------
23:17:02.171    OS Version: Windows 5.1.2600 Service Pack 3
23:17:02.171    Number of processors: 1 586 0x207
23:17:02.171    ComputerName: NUMBERONE  UserName: Joachim
23:17:03.125    Initialize success
23:17:19.984    AVAST engine defs: 12092401
23:17:29.703    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
23:17:29.703    Disk 0 Vendor: ST3160021A 3.04 Size: 152616MB BusType: 3
23:17:29.703    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
23:17:29.703    Disk 1 Vendor: ST3250820A 3.AAF Size: 238475MB BusType: 3
23:17:29.718    Disk 0 MBR read successfully
23:17:29.734    Disk 0 MBR scan
23:17:29.796    Disk 0 Windows XP default MBR code
23:17:29.812    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        44986 MB offset 63
23:17:29.828    Disk 0 Partition - 00     0F Extended LBA            107622 MB offset 92132775
23:17:29.859    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        46853 MB offset 92132838
23:17:29.859    Disk 0 Partition - 00     05     Extended             36867 MB offset 188089020
23:17:29.875    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        36867 MB offset 188089083
23:17:29.890    Disk 0 Partition - 00     05     Extended              2996 MB offset 359550765
23:17:29.984    Disk 0 Partition 4 00     0B        FAT32 MSWIN4.1     2996 MB offset 263594583
23:17:29.984    Disk 0 Partition - 00     05     Extended             20904 MB offset 441193095
23:17:30.000    Disk 0 Partition 5 00     07    HPFS/NTFS NTFS        20904 MB offset 269731413
23:17:30.046    Disk 0 scanning sectors +312544575
23:17:30.171    Disk 0 scanning C:\WINDOWS\system32\drivers
23:17:57.015    Service scanning
23:18:49.265    Modules scanning
23:19:10.703    Disk 0 trace - called modules:
23:19:10.718    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys siside.sys 
23:19:10.734    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f1aab8]
23:19:10.734    3 CLASSPNP.SYS[f764efd7] -> nt!IofCallDriver -> \Device\00000067[0x86f48e98]
23:19:10.734    5 ACPI.sys[f75a4620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x86f46940]
23:19:10.734    Scan finished successfully
23:20:09.531    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Joachim\Desktop\MBR.dat"
23:20:09.531    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Joachim\Desktop\aswMBR.txt"

aswMBR ging nur mit 'AVscan (none)'

JoPa

cosinus · 25.09.2012, 11:52

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

JoPa · 27.09.2012, 06:41

So,

hat leider etwas länger gedauert:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.25.11

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Joachim :: NUMBERONE [Administrator]

25.09.2012 21:00:28
mbam-log-2012-09-26 (05-32-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 424910
Laufzeit: 3 Stunde(n), 39 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
D:\System Volume Information\_restore{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0063976.exe (Backdoor.RBot) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0063977.EXE (Dont.Steal.Our.Software) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0063978.exe (Trojan.Agent.CK) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0063979.exe (Trojan.Agent) -> Keine Aktion durchgeführt.
E:\System Volume Information\_restore{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0063980.exe (Trojan.Agent.CK) -> Keine Aktion durchgeführt.

(Ende)

und:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/27/2012 at 02:51 AM

Application Version : 5.5.1022

Core Rules Database Version : 9294
Trace Rules Database Version: 7106

Scan type       : Complete Scan
Total Scan Time : 07:01:10

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 471
Memory threats detected   : 0
Registry items scanned    : 36100
Registry threats detected : 0
File items scanned        : 149795
File threats detected     : 27

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Joachim\Cookies\CR5ICI1S.txt [ /trafficholder.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\I0I60LTZ.txt [ /epochstats.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\NM241Z6T.txt [ /go.trafficshop.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\49L6O9D3.txt [ /7.rotator.wigetmedia.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\IV78786H.txt [ /wmedia.rotator.hadj7.adjuggler.net ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\ZRIYV6QD.txt [ /intermediafilesearch.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\O36TSC0H.txt [ /zedo.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\TV7WOOR0.txt [ /xxxbabesparadise.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\11YVX1GW.txt [ /rts.pgmediaserve.com ]
	C:\Dokumente und Einstellungen\Joachim\Cookies\IT4IC2YE.txt [ /dhdmedia.com ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\Cookies\admin@imagevenue.advertserve[2].txt [ Cookie:admin@imagevenue.advertserve.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\Cookies\admin@msnportal.112.2o7[1].txt [ Cookie:admin@msnportal.112.2o7.net/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\Cookies\admin@reporting.seb-bank[1].txt [ Cookie:admin@reporting.seb-bank.de/track/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\Cookies\UBW86MNY.txt [ Cookie:joachim@reporting.santanderbank.de/track/ ]
	account.goodgamestudios.com [ C:\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\PW876CZX ]
	media.goodgamestudios.com [ C:\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\PW876CZX ]
	cdn5.specificclick.net [ K:\SICHERUNGEN\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\3GHSL6SB ]
	ia.media-imdb.com [ K:\SICHERUNGEN\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\3GHSL6SB ]
	track.webgains.com [ K:\SICHERUNGEN\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\3GHSL6SB ]
	www.euros4click.de [ K:\SICHERUNGEN\DOKUMENTE UND EINSTELLUNGEN\JOACHIM\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\3GHSL6SB ]

Adware.Vundo/Variant-X32[Header]
	C:\WINDOWS\SYSTEM32\WSIWIN32.DLL

Trojan.Agent/Gen-FakeAlert
	D:\DOWNLOADS\MEDION\DOWNLOAD_RMINSTALL-7[1].0.0.1010REGNOW-36789.EXE
	E:\KOMPONENTEN\CDTOOLS\MINESWEEPER\NEWSWEEP.EXE

Trojan.Agent/Gen-Frauder
	D:\DOWNLOADS\SLIPSTREAM\SLIPSTREAMER.EXE

Trojan.SimitraD-Loader
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0064374.EXE
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{EDA1591C-C54D-470F-9478-FF9AFC0A031F}\RP527\A0064382.EXE

Trojan.Agent/Gen-Autorun[Swisyn]
	E:\KOMPONENTEN\CONTRAST\DREAM\DCOUT_PW.EXE

Mir ist aufgefallen, dass, seit ich SUPERAntiSpyware installiert habe, der Rechnerstart und auch das Starten von Programmen z. T. lange dauert. Ist das normal und wird es sich nach Deinstallation der Software wieder änderen?

JoPa

cosinus · 27.09.2012, 16:08

Code:

ATTFilter

C:\WINDOWS\SYSTEM32\WSIWIN32.DLL

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

JoPa · 27.09.2012, 17:11

Hi,

hier der gewünschte link

Code:

ATTFilter

https://www.virustotal.com/file/5656d4a0568e96294b496b4c6ef6f929fce0d1d64450e005c25a453329152740/analysis/1348761992/

JoPa

cosinus · 27.09.2012, 20:18

Sieht ok aus, da wurden nur Cookies gefunden, die anderen Funde sind IMHO Fehalarme
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

JoPa · 27.09.2012, 21:11

Hi,

soweit läuft alles wieder - allerdings dauert das Hochfahren des Rechners und das Starten von Programmen (z. B. Excel) sehr lange (ich weiß, der Rechner ist schon ein wenig betagt). Wie ich schon geschrieben habe, vermute ich einen Zusammenhang mit 'SuperAntiSpyware'. Kann ich 'SuperAntiSpyware' und all die anderen Programme, die während der Behandlung des Rechners verwendet wurden, jetzt deinstallieren / löschen? Sollte ich jetzt irgendwelche Funde noch entfernen?

JoPa

cosinus · 27.09.2012, 21:20

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

JoPa · 27.09.2012, 21:44

Ja dann...

werde ich mich mal an die Aufräumarbeiten machen.

Nochmals besten Dank für die Unterstützung. Immerhin hatte das ganze den positiven Nebeneffekt, dass ich auch was dabei gelernt habe.

JoPa

25.09.2012, 11:52	#32
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Weisser Bildschirm ohne Taskleiste, Taskmanager nicht verfuegbar Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ __________________

Weisser Bildschirm ohne Taskleiste, Taskmanager nicht verfuegbar

Log-Analyse und Auswertung: Weisser Bildschirm ohne Taskleiste, Taskmanager nicht verfuegbar