Vista Systemstart Fehlermeldung: zchha.dd Modul wurde nicht gefunden

nochdigger · 09.10.2009, 22:16

Hallo

überprüfe dein System bitte mit GMER und poste das Logfile hierher.

Was hälst davon emule, die Virenschleuder zu deinstallieren

?

Hast du in letzter Zeit evtl. ein fremden USB-Stick (o.ä.) am System gehabt oder deinen an einem anderem System?

MFG

Shivajra · 10.10.2009, 02:09

GMER ließ sich nicht so einfach ausführen. Beim ersten Versuch hat´s sich aufgehangen, beim zweiten Versuch is direkt nach dem Öffnen das System abgestürzt -> Monitor blau "System wird aus Sicherheitsgründen runtergefahren" oder so ähnlich.
Hab´s jetzt im abgesicherten Modus durchlaufen lassen, hoffe das ist okay.

N fremden USB Stick hatte ich zuletzt Anfang August. Als ich den angeschlossen hatte, hatte AntiVir auch direkt n Virus gemeldet.
Bin davon ausgegangen, dass das Problem mit AntiVir behoben wurde.

GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-10 02:54:27
Windows 6.0.6001 Service Pack 1
Running: p6cz4r6e.exe; Driver: C:\Users\Sonja\AppData\Local\Temp\uglcypow.sys

---- System - GMER 1.0.15 ----

INT 0x51 ? 862CEBF8
INT 0x72 ? 862CEBF8
INT 0x82 ? 862CEBF8
INT 0x92 ? 85422BF8
INT 0x92 ? 862CEBF8
INT 0x92 ? 862CEBF8
INT 0x92 ? 862CEBF8
INT 0x92 ? 85422BF8
INT 0xA2 ? 862CEBF8

---- Kernel code sections - GMER 1.0.15 ----

? System32\Drivers\spfi.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 8AEF64CB 5 Bytes JMP 862CE1D8
.text adwrwmwf.SYS 8EDBC000 22 Bytes [26, B2, 7B, 82, 10, B1, 7B, ...]
.text adwrwmwf.SYS 8EDBC017 181 Bytes [00, 32, 47, 74, 8A, 3D, 45, ...]
.text adwrwmwf.SYS 8EDBC0CE 10 Bytes [00, 00, 00, 00, 00, 00, 02, ...]
.text adwrwmwf.SYS 8EDBC0DA 12 Bytes [00, 00, 02, 00, 00, 00, 24, ...]
.text adwrwmwf.SYS 8EDBC0E7 714 Bytes [00, F0, 0E, 00, 00, 00, 00, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8465D2D8
IAT \SystemRoot\system32\drivers\pci.sys[ntoskrnl.exe!IoDetachDevice] [8A66AC4C] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [8A66ACA0] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8A63A6D6] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8A63A042] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8A63A800] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8A63A0C0] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8A63A13E] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\system32\drivers\ataport.SYS[ntoskrnl.exe!DbgBreakPoint] 8465E2D8
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 862CE2D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8A649E9C] \SystemRoot\System32\Drivers\spfi.sys
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortNotification] CC358B04
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortWritePortUchar] 838EDE1F
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortWritePortUlong] 458B38C6
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortGetPhysicalAddress] A5A5A514
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 100D8BA5
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortGetScatterGatherList] 5F8EDDF0
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortReadPortUchar] 30810889
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortStallExecution] 54771129
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortGetParentBusType] 10C25D5E
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortRequestCallback] 8B55CC00
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 084D8BEC
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 0CF0918B
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortCompleteRequest] 458B0000
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortMoveMemory] 8B108910
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 000CF491
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 04508900
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 053C7980
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortReadPortUshort] 560C558B
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortReadPortBufferUshort] C6127557
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortInitialize] B18D0502
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortGetDeviceBase] 00000CF8
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[ataport.SYS!AtaPortDeviceStateChange] A508788D
IAT \SystemRoot\System32\Drivers\adwrwmwf.SYS[NTOSKRNL.exe!KeTickCount] 8B118920
IAT \SystemRoot\system32\DRIVERS\storport.sys[ntoskrnl.exe!DbgBreakPoint] 862052D8

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 854241F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 846601F8
Device \Driver\usbuhci \Device\USBPDO-0 8617E1F8
Device \Driver\usbuhci \Device\USBPDO-1 8617E1F8
Device \Driver\sptd \Device\3813508857 spfi.sys
Device \Driver\usbuhci \Device\USBPDO-2 8617E1F8
Device \Driver\usbehci \Device\USBPDO-3 8617F1F8
Device \Driver\usbuhci \Device\USBPDO-4 8617E1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{12E8037C-EC36-4B8C-805D-28D4BCFC014D} 86903500
Device \Driver\usbuhci \Device\USBPDO-5 8617E1F8
Device \Driver\usbuhci \Device\USBPDO-6 8617E1F8
Device \Driver\volmgr \Device\HarddiskVolume1 846601F8
Device \Driver\usbehci \Device\USBPDO-7 8617F1F8
Device \Driver\volmgr \Device\HarddiskVolume2 846601F8
Device \Driver\cdrom \Device\CdRom0 861FE1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{197AE3D1-729F-486B-BB01-1A84643F2DEC} 86903500
Device \Driver\volmgr \Device\HarddiskVolume3 846601F8
Device \Driver\cdrom \Device\CdRom1 861FE1F8
Device \Driver\iaStor \Device\Ide\iaStor0 [8A8BEA60] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section]
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [8A8BEA60] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section]
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-1 [8A8BEA60] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section]
Device \Driver\netbt \Device\NetBt_Wins_Export 86903500
Device \Driver\Smb \Device\NetbiosSmb 869011F8
Device \Driver\PCI_PNP8847 \Device\0000004d spfi.sys
Device \Driver\iScsiPrt \Device\RaidPort0 862061F8
Device \Driver\usbuhci \Device\USBFDO-0 8617E1F8
Device \Driver\usbuhci \Device\USBFDO-1 8617E1F8
Device \Driver\usbuhci \Device\USBFDO-2 8617E1F8
Device \Driver\usbehci \Device\USBFDO-3 8617F1F8
Device \Driver\usbuhci \Device\USBFDO-4 8617E1F8
Device \Driver\usbuhci \Device\USBFDO-5 8617E1F8
Device \Driver\usbuhci \Device\USBFDO-6 8617E1F8
Device \Driver\usbehci \Device\USBFDO-7 8617F1F8
Device \Driver\adwrwmwf \Device\Scsi\adwrwmwf1 86202500
Device \Driver\adwrwmwf \Device\Scsi\adwrwmwf1Port2Path0Target0Lun0 86202500
Device \FileSystem\cdfs \Cdfs 86DF71F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fe1fe0541
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fe2f55513
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x78 0x8B 0x6B 0x11 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x6A 0xB4 0x6B 0xEF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x39 0x58 0x47 0x52 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001fe1fe0541 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001fe2f55513 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x78 0x8B 0x6B 0x11 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x6A 0xB4 0x6B 0xEF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x39 0x58 0x47 0x52 ...

---- EOF - GMER 1.0.15 ----

Shivajra · 10.10.2009, 15:31

Kann da jemand was draus lesen?
Hab ich jetzt irgend n Schädling auf´m Rechner?

nochdigger · 11.10.2009, 05:00

Hallo

Zitat:

GMER ließ sich nicht so einfach ausführen. Beim ersten Versuch hat´s sich aufgehangen, beim zweiten Versuch is direkt nach dem Öffnen das System abgestürzt -> Monitor blau "System wird aus Sicherheitsgründen runtergefahren" oder so ähnlich.

das gefällt mir garnicht.

Lass bitte Combofix dein System überprüfen

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

poste anschließend das Log hierher.

MFG

Shivajra · 11.10.2009, 12:34

Code:

ATTFilter

ComboFix 09-10-10.02 - Sonja 11.10.2009 13:21.1.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3066.1948 [GMT 2:00]
ausgeführt von:: c:\users\Sonja\Desktop\cofi.exe.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1112874316-4270353045-129943460-500
c:\$recycle.bin\S-1-5-21-2974871515-934026568-981231899-500
c:\windows\msetup
c:\windows\msetup\BASW-00503A64\data1.cab
c:\windows\msetup\BASW-00503A64\data1.hdr
c:\windows\msetup\BASW-00503A64\data2.cab
c:\windows\msetup\BASW-00503A64\engine32.cab
c:\windows\msetup\BASW-00503A64\layout.bin
c:\windows\msetup\BASW-00503A64\PlayCamera\CameraOn.wav
c:\windows\msetup\BASW-00503A64\PlayCamera\Click.wav
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_chs_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_cht_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_deu_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_eng_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_esp_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_fra_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_ita_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_kor_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_ptg_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_rus_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\Help\PlayCamera_ukr_s.chm
c:\windows\msetup\BASW-00503A64\PlayCamera\HookDllPS2.dll
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\Back_Big.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\Back_Small.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbCancel.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbHelp.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbOk.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbOpen.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbPreviewOff.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbPreviewOn.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbRecordOff.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbRecordOn.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\gbSnap.bmp
c:\windows\msetup\BASW-00503A64\PlayCamera\Images\PlayCamera.ico
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_chs.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_cht.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_deu.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_eng.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_esp.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_fra.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_ita.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_kor.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_ptg.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_rus.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\Language\PlayCamera_ukr.txt
c:\windows\msetup\BASW-00503A64\PlayCamera\PlayCamera.exe
c:\windows\msetup\BASW-00503A64\PlayCamera\SSHook.dll
c:\windows\msetup\BASW-00503A64\PlayCamera\Uninst.ico
c:\windows\msetup\BASW-00503A64\setup.exe
c:\windows\msetup\BASW-00503A64\setup.ibt
c:\windows\msetup\BASW-00503A64\setup.ini
c:\windows\msetup\BASW-00503A64\setup.iss
c:\windows\msetup\BASW-00503A64\SWDesc.txt
c:\windows\msetup\BASW-01038A05\ChgWLANSettings.exe
c:\windows\msetup\MSetup.exe
c:\windows\msetup\MSetupLog.log

.
(((((((((((((((((((((((   Dateien erstellt von 2009-09-11 bis 2009-10-11  ))))))))))))))))))))))))))))))
.

2009-10-10 18:21 . 2009-10-10 18:37	--------	d-----w-	c:\program files\Neuer Ordner (2)
2009-10-10 14:56 . 2009-10-10 14:56	--------	d-----w-	c:\users\Gast\ElsterFormular
2009-10-10 06:54 . 2009-10-10 06:54	--------	d-----w-	c:\users\Gast\AppData\Local\eMule
2009-10-10 06:52 . 2009-10-10 06:52	--------	d-----w-	c:\users\Gast\AppData\Local\Mozilla
2009-10-10 05:44 . 2009-10-10 05:45	--------	d-----w-	c:\windows\system32\ca-ES
2009-10-10 05:44 . 2009-10-10 05:45	--------	d-----w-	c:\windows\system32\eu-ES
2009-10-10 05:44 . 2009-10-10 05:45	--------	d-----w-	c:\windows\system32\vi-VN
2009-10-10 05:31 . 2009-10-10 05:31	--------	d-----w-	c:\windows\system32\EventProviders
2009-10-09 17:39 . 2009-10-09 17:39	--------	d-----w-	C:\rsit
2009-10-09 16:25 . 2009-10-09 16:25	--------	d-----w-	c:\users\Sonja\AppData\Roaming\Malwarebytes
2009-10-09 16:25 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-09 16:25 . 2009-10-09 16:25	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-10-09 16:25 . 2009-10-09 16:25	--------	d-----w-	c:\programdata\Malwarebytes
2009-10-09 16:25 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-09 15:53 . 2009-10-09 15:53	--------	d-----w-	c:\program files\CCleaner
2009-10-09 15:09 . 2009-10-09 15:09	--------	d-----w-	c:\program files\Trend Micro
2009-10-09 14:25 . 2007-07-19 22:57	267112	----a-w-	c:\windows\system32\xactengine2_9.dll
2009-10-07 17:14 . 2009-10-01 08:29	195440	------w-	c:\windows\system32\MpSigStub.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-11 11:09 . 2008-09-08 03:43	219933	----a-w-	c:\programdata\nvModes.dat
2009-10-10 18:41 . 2008-09-08 00:34	683738	----a-w-	c:\windows\system32\perfh007.dat
2009-10-10 18:41 . 2008-09-08 00:34	149760	----a-w-	c:\windows\system32\perfc007.dat
2009-10-10 18:31 . 2009-02-26 17:05	--------	d-----w-	c:\users\Sonja\AppData\Roaming\Winamp
2009-10-10 18:31 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Sidebar
2009-10-10 18:31 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Photo Gallery
2009-10-10 18:31 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Journal
2009-10-10 18:31 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Defender
2009-10-10 18:31 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Collaboration
2009-10-10 18:31 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Calendar
2009-10-10 18:31 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-10-10 18:24 . 2008-09-08 19:18	12	----a-w-	c:\windows\bthservsdp.dat
2009-10-10 14:39 . 2009-02-19 06:25	--------	d-----w-	c:\programdata\Google Updater
2009-10-10 06:39 . 2008-09-08 04:13	--------	d-----w-	c:\programdata\NVIDIA
2009-10-10 06:38 . 2009-10-10 06:38	102936	----a-w-	c:\users\Gast\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-09 14:32 . 2009-10-09 14:32	0	----a-w-	c:\programdata\xmlDF0A.tmp
2009-10-09 14:32 . 2009-10-09 14:32	0	----a-w-	c:\programdata\xmlDEDA.tmp
2009-10-09 14:28 . 2009-10-09 14:28	1621	----a-w-	c:\programdata\xml5034.tmp
2009-10-09 14:28 . 2009-10-09 14:28	8723	----a-w-	c:\programdata\xml4F48.tmp
2009-10-09 14:28 . 2009-10-09 14:28	0	----a-w-	c:\programdata\xml4FD6.tmp
2009-09-09 09:29 . 2009-03-19 12:23	--------	d-----w-	c:\users\Sonja\AppData\Roaming\Skype
2009-09-07 19:33 . 2009-02-17 00:07	--------	d-----w-	c:\program files\Java
2009-09-04 15:44 . 2009-10-09 14:26	515416	----a-w-	c:\windows\system32\XAudio2_5.dll
2009-09-04 15:44 . 2009-10-09 14:26	238936	----a-w-	c:\windows\system32\xactengine3_5.dll
2009-09-04 15:44 . 2009-10-09 14:26	69464	----a-w-	c:\windows\system32\XAPOFX1_3.dll
2009-09-04 15:29 . 2009-10-09 14:26	453456	----a-w-	c:\windows\system32\d3dx10_42.dll
2009-09-04 15:29 . 2009-10-09 14:26	235344	----a-w-	c:\windows\system32\d3dx11_42.dll
2009-09-04 15:29 . 2009-10-09 14:26	1974616	----a-w-	c:\windows\system32\D3DCompiler_42.dll
2009-09-04 15:29 . 2009-10-09 14:26	5501792	----a-w-	c:\windows\system32\d3dcsx_42.dll
2009-09-04 15:29 . 2009-10-09 14:26	1892184	----a-w-	c:\windows\system32\D3DX9_42.dll
2009-08-25 20:48 . 2009-07-22 17:24	--------	d-----w-	c:\users\Sonja\AppData\Roaming\vlc
2009-08-18 21:08 . 2009-08-18 21:08	--------	d-----w-	c:\program files\Audiograbber
2009-08-14 19:23 . 2009-08-14 19:23	--------	d-----w-	c:\program files\MSXML 4.0
2009-08-14 16:27 . 2009-09-09 17:58	904776	----a-w-	c:\windows\system32\drivers\tcpip.sys
2009-08-14 15:53 . 2009-09-09 17:58	17920	----a-w-	c:\windows\system32\netevent.dll
2009-08-14 13:53 . 2009-08-14 13:46	--------	d-----w-	c:\users\Sonja\AppData\Roaming\Nseries
2009-08-14 13:49 . 2009-09-09 17:58	9728	----a-w-	c:\windows\system32\TCPSVCS.EXE
2009-08-14 13:49 . 2009-09-09 17:58	11264	----a-w-	c:\windows\system32\MRINFO.EXE
2009-08-14 13:49 . 2009-09-09 17:58	17920	----a-w-	c:\windows\system32\ROUTE.EXE
2009-08-14 13:49 . 2009-09-09 17:58	27136	----a-w-	c:\windows\system32\NETSTAT.EXE
2009-08-14 13:49 . 2009-09-09 17:58	8704	----a-w-	c:\windows\system32\HOSTNAME.EXE
2009-08-14 13:49 . 2009-09-09 17:58	19968	----a-w-	c:\windows\system32\ARP.EXE
2009-08-14 13:49 . 2009-09-09 17:58	10240	----a-w-	c:\windows\system32\finger.exe
2009-08-14 13:48 . 2009-08-14 13:45	--------	d-----w-	c:\users\Sonja\AppData\Roaming\PC Suite
2009-08-14 13:48 . 2009-08-14 13:48	0	---ha-w-	c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2009-08-14 13:48 . 2009-09-09 17:58	30720	----a-w-	c:\windows\system32\drivers\tcpipreg.sys
2009-08-14 13:48 . 2009-09-09 17:58	105984	----a-w-	c:\windows\system32\netiohlp.dll
2009-08-14 13:47 . 2009-08-14 13:45	--------	d-----w-	c:\programdata\PC Suite
2009-08-14 13:46 . 2009-08-14 13:46	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-08-14 13:46 . 2009-08-14 13:46	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-08-14 13:45 . 2009-02-04 19:12	102936	----a-w-	c:\users\Sonja\AppData\Local\GDIPFONTCACHEV1.DAT
2009-08-14 13:42 . 2009-08-14 13:42	--------	d-----w-	c:\users\Sonja\AppData\Roaming\Nokia
2009-08-14 13:35 . 2009-08-14 13:25	--------	d-----w-	c:\program files\Nokia
2009-08-14 13:34 . 2009-08-14 13:30	--------	d-----w-	c:\program files\Common Files\Nokia
2009-08-14 13:33 . 2009-08-14 13:33	--------	d-----w-	c:\programdata\NokiaMusic
2009-08-14 13:31 . 2009-08-14 13:31	--------	d-----w-	c:\program files\Common Files\muvee Technologies
2009-08-14 13:28 . 2009-08-14 13:28	--------	d-----w-	c:\program files\DIFX
2009-08-13 21:13 . 2009-07-22 17:24	--------	d-----w-	c:\users\Sonja\AppData\Roaming\dvdcss
2009-08-12 07:52 . 2009-04-24 12:17	395	----a-w-	c:\windows\system32\dmlg.dat
2009-08-07 21:57 . 2009-06-07 08:40	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-07-25 03:23 . 2009-02-17 00:08	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-18 16:01 . 2009-08-07 21:39	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-07-18 11:35 . 2009-08-07 21:39	828416	----a-w-	c:\windows\system32\wininet.dll
2009-07-17 13:54 . 2009-08-12 09:47	71680	----a-w-	c:\windows\system32\atl.dll
2009-07-15 12:40 . 2009-08-12 09:47	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-07-15 12:39 . 2009-08-12 09:47	313344	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-15 12:39 . 2009-08-12 09:47	4096	----a-w-	c:\windows\system32\dxmasf.dll
2009-07-15 12:39 . 2009-08-12 09:47	7680	----a-w-	c:\windows\system32\spwmp.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-09 13543968]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-02-27 198160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-07-08 6273568]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Scanner Finder.lnk - c:\program files\ScanWizard 5\ScannerFinder.exe [2009-5-27 315392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
"ClipIncSrvTray"="d:\tobit clipinc\Player\ClipIncTray.exe"
"GMX SMS-Manager"=c:\program files\GMX\GMX SMS-Manager\SMSMngr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"Babylon Client"=c:\program files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):36,fb,42,cd,6d,49,ca,01

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E98DB0EC-092B-413C-9A06-7E3DF97EC262}"= UDP:Profile=Private|Profile=Public|d:\tobit clipinc\Server\ClipInc-Server.exe:ClipInc Server
"{F4048A75-6EF3-405E-822C-AC3F42DD3E5F}"= TCP:Profile=Private|Profile=Public|d:\tobit clipinc\Server\ClipInc-Server.exe:ClipInc Server
"{6F244948-0F46-483C-A303-EE7B625DCEC2}"= UDP:Profile=Private|Profile=Public|d:\tobit clipinc\Player\ClipInc-Player.exe:ClipInc Player
"{935FE906-087A-4583-9209-536FBE1F9D4E}"= TCP:Profile=Private|Profile=Public|d:\tobit clipinc\Player\ClipInc-Player.exe:ClipInc Player
"{4A119235-8256-4B7B-BC1D-D889074F0E4C}"= c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{B64CAC61-3297-4F84-9C38-E35188B6D6EB}c:\\programdata\\kaspersky lab setup files\\kaspersky internet security 2009\\german\\setup.exe"= UDP:c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 2009
"UDP Query User{7034CF63-8872-468F-8A9B-254EB8C810EA}c:\\programdata\\kaspersky lab setup files\\kaspersky internet security 2009\\german\\setup.exe"= TCP:c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 2009
"TCP Query User{64DF12A6-9E6C-4809-9406-03CEFE9FFB09}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{8AB317C5-9919-4B38-B377-5FD513647BE3}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{C80517A2-855E-4D37-920B-8CA07598EF07}c:\\windows\\explorer.exe"= UDP:c:\windows\explorer.exe:Windows-Explorer
"UDP Query User{BB111FE7-2672-419A-AE3F-1625A4196EB4}c:\\windows\\explorer.exe"= TCP:c:\windows\explorer.exe:Windows-Explorer
"TCP Query User{1298C098-5C5C-417D-AF9A-6CDFBE9EAC78}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{1FA3132F-0C2A-4441-BEE2-0BC1854D44F9}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{283FEA97-405C-47C5-89EB-4A577C0C4081}"= UDP:c:\program files\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:TwonkyMedia
"{8E383222-0823-4221-943C-DF1318C4861B}"= TCP:c:\program files\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:TwonkyMedia
"{C42BB8CD-A50F-4140-AB6C-415B85406CD2}"= UDP:c:\program files\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:TwonkyMediaServer
"{55852F16-A065-48BC-B843-D2BB64302B25}"= TCP:c:\program files\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:TwonkyMediaServer
"{630B76D3-54CF-4549-A66D-D4BDC8922690}"= TCP:4672:emule UDP Port

R1 uigxrdr;uigxrdr;c:\windows\System32\drivers\uigxrdr.SYS [17.02.2009 01:04 272384]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [07.06.2009 10:40 108289]
R2 BcmSqlStartupSvc;SQL Server-Startdienst für Business Contact Manager;c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [16.01.2008 10:51 30312]
R2 ClipInc001;ClipInc 001;d:\tobit clipinc\Server\ClipInc-Server.exe 001 --> d:\tobit clipinc\Server\ClipInc-Server.exe 001 [?]
R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\System32\drivers\KMDFMEMIO.sys [08.09.2008 05:35 13312]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [08.09.2008 02:26 44576]
R3 VMC302;Vimicro Camera Service VMC302;c:\windows\System32\drivers\vmc302.sys [08.09.2008 05:32 242048]
S2 gupdate1c9925b664fa50;Google Update Service (gupdate1c9925b664fa50);c:\program files\Google\Update\GoogleUpdate.exe [19.02.2009 08:26 133104]
S2 TwonkyMedia;TwonkyMedia;c:\program files\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 --> c:\program files\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 [?]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [24.11.2008 23:31 29263712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners

2009-10-10 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-19 07:15]

2009-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-19 06:26]

2009-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-19 06:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp:\\www.samsungcomputer.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Sonja\AppData\Roaming\Mozilla\Firefox\Profiles\z5ilsjxw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=3&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?rlz=1R0GGGL_de&hl=de&source=iglk
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-11 13:27
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

 [0] 0x0E1C0E43

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\users\Sonja\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2009-10-11 13:28
ComboFix-quarantined-files.txt  2009-10-11 11:28

Vor Suchlauf: 9 Verzeichnis(se), 90.262.491.136 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 90.209.574.912 Bytes frei

279	--- E O F ---	2009-10-10 05:41

nochdigger · 12.10.2009, 20:56

Hallo

hattest du mal McAfee installiert?

Du hast Combofix mindestens 2x laufen lassen, warum?

Deinstalliere Combofix

Zitat:

Start -> Ausführen -> gib ein Combofix /u -> Enter

lade dir Combofix neu runter und stecke bitte deinen USB-Stick mit gedrückt gehaltener Shifttaste an deinen Rechner an.
Lass Combofix erneut laufen.

MFG

Shivajra · 14.10.2009, 14:40

Hallo!
Kann sein, dass mal McAffee drauf war. Irgend n Programm war als 90 Tage Testversion beim Kauf bereits installiert. Mag sein, dass das Mc Affee war.

Ich hab Combo nicht zwei Mal laufen lassen!
Konnte beim runterladen Combofix nicht unter "speichern unter" anders benennen. Vista lädt das runter ohne nach dem Ort zu fragen.
Habs erst umbenannt, als ich´s schon auf dem Rechner hatte. Tut das was zur Sache?

Meinst du den fremden USB Stick den ich mal am Rechner hatte? Da komm ich jetzt nicht mehr dran.
Hab aber noch ne externe Festplatte und n Handy, soll ich die mit anschließen?

Danke für deine Zeit und Hilfe!

Vista Systemstart Fehlermeldung: zchha.dd Modul wurde nicht gefunden

Log-Analyse und Auswertung: Vista Systemstart Fehlermeldung: zchha.dd Modul wurde nicht gefunden