Hallo zusammen,

ich hatte einen Virus der den Prozess svchost stark ausgelastet hat, habe ich aber direkt bemerkt und den Schädling beseitigt mit der CT Notfall CD (aktuelles Signatiren Update).
Anschließend habe ich mit der WinXP CD in der Konsole mit FIXMBR den Bootsektor neu geschrieben.
Danach habe ich das System noch mal mit weiteren Tools getestet:
- Avira Personal (aggresive Einstellung/ check der MBR)
- HijackThis
- Anti-Spy
- GMER
- MBR.EXE (von der GMER Seite)

jetzt meldet GMER unter Rootkit/Malware
DISK \Device\Harddisk0\DR0 sector 63: rootkit like behaviour, copy of MBR

MBR.EXE gibt aus: user & kernel mbr ok

das ganze ist nicht farblich besonders markiert und ich verstehe das in erster Linie als Hinweis, was sagt ihr dazu

zur Info: die Platte ist partitioniert, die zweite Parttion auf 2 Laufwerke aufgeteilt. Gibt es PC Konfigurationen die diese Meldung verursachen.

vielen Dank schon mal

mit freundlichen Grüssen

Lutz

Hallo und

Wenn Du den MBR über fixmbr repariert ist, dürfte der MBR ok sein. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Arne,

ich habe die Anleitung befolgt und die log-files hier hochgeladen als zip. h**p://w*w.file-upload.net/download-2125207/log.zip.html


Ich habe dabei noch einen Startup EIntrag der siszyd32.exe gefunden und gelöscht und ein zweites mal laufen lassen, jetzt ist sauber. Die Datei siszyd32.exe hatte der Virensacnner aber gefunden und gelöscht zusammen mit 2 weiteren Dateien.

Gruß

Lutz
für deine Hilfe

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien:
E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.
E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.
         

Wo hast Du diese Setups her? Stammen die aus einer vertrauenswürdigen Quelle?

Code: Alles auswählenAufklappen

ATTFilter

2009-12-31 10:27:17 ----D---- C:\INFECTED
2009-12-31 06:34:22 ----D---- C:\knclogs
         

Was ist in diesen Ordnern?

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

[QUOTE=cosinus;491589]

Code: Alles auswählenAufklappen

ATTFilter

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
Infizierte Dateien:
E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.
E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.
         
 
Wo hast Du diese Setups her? Stammen die aus einer vertrauenswürdigen Quelle?
         

Die Setups sind recht alte Programme aus DOS/Win3.11 bzw Win95 Zeiten, habe sie noch nicht gelöscht sind aber sauber. Es sind Profiler für Turbo Pascal bzw Turbo Pascal für Windows.
Ich habe sie aber trotzdem bei VirusTotal.com gecheckt, sind auch da sauber.

Code: Alles auswählenAufklappen

ATTFilter

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
2009-12-31 10:27:17 ----D---- C:\INFECTED
2009-12-31 06:34:22 ----D---- C:\knclogs
         
 
Was ist in diesen Ordnern?
         

Die Ordner wurden von der CT Rettungs CD angelegt, dort wurden die infizierten Dateien in Quarantäne geschickt und natürlich umbenannt.

Code: Alles auswählenAufklappen

ATTFilter

Lade dir Lop S&D  herunter. 
        
Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.
         

Mach ich

viele Grüsse

Lutz

Hallo,

so jetzt hab ich es gesacnnt un hochgeladen
w*w.file-upload.net/download-2127039/lopR.txt.html

dort habe ich ein merkwürdiges verzeichnis gefunden
VZXdxfUqEAF

darin ist die Datei
PCGWIN32.LI5

habe die Datei bei virus-total.com geprüft aber ohne Befund, der Ordner wurde am gleichen Tag zur gleichen Uhrzeit angelegt als ich einen Streckenbaukasten für GTL Rennsimulation installiert habe. Werde diese Setup Datei mal bei VirusTotal checken

Gruß

Lutz

Das ist schon sehr
Bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

was ist denn der Grund, welche Angabe gibt denn Grund für die Annahme das etwas nicht stimmt? Könntest du mir evtl. dazu noch eine Info geben.

Gruß

Lutz

Hm was möchstest Du jetzt wissen? Das bezog sich auf den Namen des Ordners
Bitte CF ausführen!

Hallo Arne,

danke für die Antwort, der Name des Orners wars also, hatte mich auch stutzig gemacht. Wie gesagt die Datei im Ordener hatte ich daraufhuin gescannt bei virus-total.com. Das Setup welches diese angelegt hatte habe ich auch gescannt. Beides ohne Viren, soweit man das sagen kann.

Hier das Ergebnis von CoFi
w*w.file-upload.net/download-2130224/ComboFix.txt.html

viele Grüsse

Lutz

Hallo Arne,

neuer link

Hier das Ergebnis von CoFi
w*w.file-upload.net/download-2130969/ComboFix.txt.html

viele Grüsse

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

DirLook::
C:\INFECTED
C:\knclogs

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"mixer1"=-

File::
c:\windows\system32\avmwav32.drv
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\drivers\CBUL32.sys
c:\windows\wpd99.drv

Drivers::
CBUL32
wyvnj
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

der lauf mit dem Script hat mir jetzt den Treiber der FAST AVMaster gelöscht avmwav32.drv und den Treiber der RedLab AD Wandler Box CBUL32.sys

Die fjhdyfhsn.bat war eine Endlosschleife die so lange läuft bis der Iinternet Explorer gelöscht ist, sonst hat die nichts gemacht, hat aber nicht funktioniert da der bei mir iexplore.exe und nicht wie in der Bat iexplorer.exe heißt.

Bei dem WPD99.DRV weiß ich noch nicht was es war.

Wenn das File die Dateien löschen sollte wäre ein Info nicht schlecht gewesen weil ich mich schon ein bißchen auskenne, werde es aber auch wieder hinbekommen.

hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-01-04.01 - lutz0 05.01.2010  18:20:18.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.442 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\lutz0\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\lutz0\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"c:\windows\system32\avmwav32.drv"
"c:\windows\system32\drivers\CBUL32.sys"
"c:\windows\system32\fjhdyfhsn.bat"
"c:\windows\wpd99.drv"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\avmwav32.drv
c:\windows\system32\drivers\CBUL32.sys
c:\windows\system32\fjhdyfhsn.bat
c:\windows\wpd99.drv

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CBUL32
-------\Service_CBUL32


(((((((((((((((((((((((   Dateien erstellt von 2009-12-05 bis 2010-01-05  ))))))))))))))))))))))))))))))
.

2010-01-04 20:34 . 2010-01-04 20:52	--------	d-----w-	C:\CoFi
2010-01-03 18:27 . 2010-01-03 19:08	--------	d-----w-	C:\Lop SD
2010-01-02 16:39 . 2010-01-03 08:18	--------	d-----w-	C:\rsit
2010-01-02 12:09 . 2010-01-02 12:09	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Malwarebytes
2010-01-02 12:09 . 2009-12-30 13:55	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-02 12:09 . 2010-01-02 12:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-02 12:09 . 2009-12-30 13:54	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-31 09:27 . 2009-12-31 09:27	--------	d-----w-	C:\INFECTED
2009-12-31 05:34 . 2009-12-31 04:50	--------	d-----w-	C:\knclogs
2009-12-29 22:03 . 2009-12-29 22:03	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\FreeFixer
2009-12-29 22:03 . 2009-12-29 22:03	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\FreeFixer
2009-12-23 20:38 . 2003-08-19 18:31	81920	----a-w-	c:\windows\system32\viscomwave.dll
2009-12-20 17:36 . 2009-12-20 17:36	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\TracerDAQ
2009-12-20 17:36 . 2009-12-20 17:36	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Meilhaus Electronic
2009-12-20 12:18 . 2009-12-20 12:18	--------	d-----w-	c:\programme\Meilhaus Electronic
2009-12-19 19:43 . 2009-12-19 19:43	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2009-12-19 19:43 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-19 19:43 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-19 19:43 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-19 19:43 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-19 19:43 . 2009-12-19 19:43	--------	d-----w-	c:\programme\Avira
2009-12-19 19:43 . 2009-12-19 19:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-07 18:44 . 2009-12-07 18:44	--------	d-----w-	c:\windows\system32\CatRoot_bak
2009-12-07 05:06 . 2009-12-07 05:08	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\Temp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-05 05:46 . 2009-01-17 19:27	34176	----a-w-	c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-04 19:14 . 2009-05-03 10:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-01-01 18:06 . 2009-01-18 13:17	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-12-30 08:24 . 2009-12-30 08:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiSpyInfo
2009-12-22 05:35 . 2009-09-03 18:37	--------	d-----w-	c:\programme\Opera
2009-12-20 12:18 . 2009-02-03 20:10	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-12-20 07:28 . 2009-12-06 08:18	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-12-16 16:43 . 2009-09-28 17:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2009-12-06 12:22 . 2009-01-17 18:45	84318	----a-w-	c:\windows\system32\perfc007.dat
2009-12-06 12:22 . 2009-01-17 18:45	458476	----a-w-	c:\windows\system32\perfh007.dat
2009-12-06 12:16 . 2009-01-17 19:10	86327	----a-w-	c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-12-06 08:19 . 2009-12-06 08:19	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\TuneUp Software
2009-12-06 08:18 . 2009-12-06 08:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-12-06 08:18 . 2009-12-06 08:18	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-12-01 19:52 . 2009-10-15 17:15	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Winamp
2009-11-14 17:48 . 2009-11-14 17:48	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-01-17 18:28 . 2009-01-17 18:27	23480	---ha-w-	c:\programme\folder.htt
2004-03-15 16:51 . 2004-03-15 16:51	114688	----a-w-	c:\programme\internet explorer\plugins\LV71ActiveXControl.dll
2006-01-23 09:32 . 2006-01-23 09:32	131072	----a-w-	c:\programme\internet explorer\plugins\LV80ActiveXControl.dll
2007-02-08 09:48 . 2007-02-08 09:48	133920	----a-w-	c:\programme\internet explorer\plugins\LV82ActiveXControl.dll
2007-07-24 18:03 . 2007-07-24 18:03	118784	----a-w-	c:\programme\internet explorer\plugins\LV85ActiveXControl.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\INFECTED ----


---- Directory of C:\knclogs ----

2009-12-31 05:34 . 2009-12-31 05:34	45709	------w-	c:\knclogs\20091231-0634.zip


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2008-08-22 2655488]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"niDevMon"="d:\programme\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2007-07-14 106064]
"SerExt"="SerExt.exe" [2004-03-25 61440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPI - Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\CAPI - Monitor.lnk
backup=c:\windows\pss\CAPI - Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^talk&surf 6.0 - Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\talk&surf 6.0 - Monitor.lnk
backup=c:\windows\pss\talk&surf 6.0 - Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 16:10	35696	----a-w-	d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-05-03 10:41	39408	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-07-01 16:37	37888	----a-w-	d:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\programme\\National Instruments\\Vision\\NIVisSvr.exe"=
"e:\\Sources\\labview 8.5\\builds\\halloween-2\\Meine Applikation\\Application.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\programme\\National Instruments\\LabVIEW 8.5\\LabVIEW.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R0 amdagpxp;AMD NB AGP Bus Filter;c:\windows\SYSTEM32\DRIVERS\amdagpxp.sys [18.01.2009 12:26 27776]
R0 nipbcfk;National Instruments Class Upper Filter Driver;c:\windows\SYSTEM32\DRIVERS\nipbcfk.sys [10.07.2007 20:08 15448]
R1 avmdrv32;FAST AV Master;c:\windows\SYSTEM32\DRIVERS\AVMdrv32.sys [18.01.2009 10:10 262656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.12.2009 20:43 108289]
R2 CAPI;CAPI 2.0 Service;c:\windows\SYSTEM32\DRIVERS\capi.sys [14.02.2009 12:58 27699]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [03.02.2009 13:53 1155072]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [22.08.2008 16:32 591104]
R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [22.08.2008 16:32 193792]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\SYSTEM32\DRIVERS\ndiscapi.sys [14.02.2009 12:58 26684]
R2 ni488enumsvc;NI-488.2 Enumeration Service;c:\windows\SYSTEM32\nipalsm.exe [16.02.2007 11:21 12696]
R2 nicanpk;nicanpk;c:\windows\SYSTEM32\DRIVERS\nicanpkl.sys [17.07.2007 14:46 11336]
R2 nidevldu;NI Device Loader;c:\windows\SYSTEM32\nipalsm.exe [16.02.2007 11:21 12696]
R2 nipxirmk;nipxirmk;c:\windows\SYSTEM32\DRIVERS\nipxirmkl.sys [22.02.2007 12:18 11552]
R2 NiViPxiK;NI-VISA PXI Driver;c:\windows\SYSTEM32\DRIVERS\NiViPxiKl.sys [19.07.2007 11:56 11360]
R3 DectEnum;DectEnum;c:\windows\SYSTEM32\DRIVERS\DectEnum.sys [25.03.2004 16:01 8448]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0029);c:\windows\SYSTEM32\DRIVERS\hrcmpa.sys [28.08.2003 07:44 249910]
R3 nidimk;nidimk;c:\windows\SYSTEM32\DRIVERS\nidimkl.sys [12.07.2007 18:18 11360]
R3 nimru2k;nimru2k;c:\windows\SYSTEM32\DRIVERS\nimru2kl.sys [24.07.2007 12:19 11360]
R3 nimstsk;nimstsk;c:\windows\SYSTEM32\DRIVERS\nimstskl.sys [13.07.2007 20:00 11360]
S0 wyvnj;wyvnj; [x]
S2 gupdate1c9cbdbed070780;Google Update Service (gupdate1c9cbdbed070780);c:\programme\Google\Update\GoogleUpdate.exe [03.05.2009 11:42 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 09:10 3276800]
S3 Gigusb;Dect USB Driver;c:\windows\SYSTEM32\DRIVERS\Gigusb.sys [25.03.2004 16:11 53632]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0029);c:\windows\SYSTEM32\DRIVERS\IUAPIWDM.sys [19.08.2003 16:46 53552]
S3 lvalarmk;lvalarmk;c:\windows\SYSTEM32\DRIVERS\lvalarmk.sys [11.01.2007 10:18 20256]
S3 ni1006k;NI PXI-1006 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1006k.sys [22.02.2007 12:40 25888]
S3 ni1045k;NI PXI-1045 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1045kl.sys [22.02.2007 12:43 11552]
S3 ni1065k;NI PXIe-1065 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1065k.sys [25.05.2007 13:26 22360]
S3 ni488lock;NI-488.2 Locking Service;c:\windows\SYSTEM32\DRIVERS\ni488lock.sys [26.02.2007 12:40 16672]
S3 nicdrk;nicdrk;c:\windows\SYSTEM32\DRIVERS\nicdrkl.sys [15.07.2007 17:44 11352]
S3 nidmxfk;nidmxfk;c:\windows\SYSTEM32\DRIVERS\nidmxfkl.sys [13.07.2007 22:38 11336]
S3 nidsark;nidsark;c:\windows\SYSTEM32\DRIVERS\nidsarkl.sys [19.07.2007 03:06 11344]
S3 niemrk;niemrk;c:\windows\SYSTEM32\DRIVERS\niemrkl.sys [24.07.2007 19:37 11336]
S3 niesrk;niesrk;c:\windows\SYSTEM32\DRIVERS\niesrkl.sys [24.07.2007 19:37 11336]
S3 nifslk;nifslk;c:\windows\SYSTEM32\DRIVERS\nifslkl.sys [15.07.2007 18:31 11352]
S3 niimaqk;NI-IMAQ Driver;c:\windows\system32\drivers\niimaqk.sys --> c:\windows\system32\drivers\niimaqk.sys [?]
S3 nimsdrk;nimsdrk;c:\windows\SYSTEM32\DRIVERS\nimsdrkl.sys [18.07.2007 10:47 11392]
S3 nimslk;nimslk;c:\windows\SYSTEM32\DRIVERS\nimslk.dll [21.06.2007 00:19 14464]
S3 nimsrlk;nimsrlk;c:\windows\SYSTEM32\DRIVERS\nimsrlk.dll [21.06.2007 00:19 151683]
S3 nimxpk;nimxpk;c:\windows\SYSTEM32\DRIVERS\nimxpkl.sys [13.07.2007 20:01 11368]
S3 ninshsdk;ninshsdk;c:\windows\SYSTEM32\DRIVERS\ninshsdkl.sys [19.07.2007 13:49 11360]
S3 nipalfwedl;nipalfwedl;c:\windows\SYSTEM32\DRIVERS\nipalfwedl.sys [18.07.2007 21:11 11904]
S3 nipalusbedl;nipalusbedl;c:\windows\SYSTEM32\DRIVERS\nipalusbedl.sys [18.07.2007 21:12 11896]
S3 nipxigpk;NI PXI Generic Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\nipxigpk.sys [22.02.2007 12:45 20768]
S3 niscdk;niscdk;c:\windows\SYSTEM32\DRIVERS\niscdkl.sys [19.07.2007 02:32 11376]
S3 nisdigk;nisdigk;c:\windows\SYSTEM32\DRIVERS\nisdigkl.sys [17.07.2007 00:27 11352]
S3 nisftk;nisftk;c:\windows\SYSTEM32\DRIVERS\nisftkl.sys [16.07.2007 12:52 11344]
S3 nispdk;nispdk;c:\windows\SYSTEM32\DRIVERS\nispdkl.sys [19.07.2007 02:32 11376]
S3 nissrk;nissrk;c:\windows\SYSTEM32\DRIVERS\nissrkl.sys [24.07.2007 19:37 11336]
S3 nistc2k;nistc2k;c:\windows\SYSTEM32\DRIVERS\nistc2kl.sys [15.07.2007 16:48 11312]
S3 nistcrk;nistcrk;c:\windows\SYSTEM32\DRIVERS\nistcrkl.sys [15.07.2007 17:50 11360]
S3 niswdk;niswdk;c:\windows\SYSTEM32\DRIVERS\niswdkl.sys [17.07.2007 04:18 11336]
S3 nitiork;nitiork;c:\windows\SYSTEM32\DRIVERS\nitiorkl.sys [18.07.2007 22:15 11360]
S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\SYSTEM32\DRIVERS\NiViFWKl.sys [19.07.2007 11:48 11384]
S3 NiViPciK;NI-VISA PCI Driver;c:\windows\SYSTEM32\DRIVERS\NiViPciKl.sys [19.07.2007 11:56 11360]
S3 niwfrk;niwfrk;c:\windows\SYSTEM32\DRIVERS\niwfrkl.sys [24.07.2007 19:37 11336]
S3 nixsrk;nixsrk;c:\windows\SYSTEM32\DRIVERS\nixsrkl.sys [24.07.2007 19:38 11336]
S3 siellif;siellif;c:\windows\SYSTEM32\DRIVERS\siellif.sys [25.03.2004 15:59 113280]
S3 usb6xxxk;usb6xxxk;\??\c:\windows\system32\drivers\usb6xxxkl.sys --> c:\windows\system32\drivers\usb6xxxkl.sys [?]
S3 xControlCOM;xControlCOM;d:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [25.03.2004 16:10 327680]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 16:34	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-01-05 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-03 10:41]

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 10:42]

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://news.google.de/nwshp?hl=de&tab=wn
Trusted Zone: adobe.com\get
Trusted Zone: camps-cres-losinj.com\www
Trusted Zone: ni.com\delta
Trusted Zone: ni.com\www
Trusted Zone: phobs.net\secure
Trusted Zone: snogard.de\www
Trusted Zone: stabo.de\www
Trusted Zone: web.de\freemailng1305
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-05 18:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1724)
c:\windows\system32\ieframe.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\lkcitdl.exe
c:\windows\system32\lkads.exe
c:\windows\system32\lktsrv.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\mgabg.exe
d:\programme\National Instruments\MAX\nimxs.exe
d:\programme\National Instruments\Shared\Security\nidmsrv.exe
c:\windows\system32\nisvcloc.exe
d:\programme\National Instruments\Shared\Tagger\tagsrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\SerExt.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-05  18:49:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-05 17:49
ComboFix2.txt  2010-01-04 20:52

Vor Suchlauf: 684.019.712 Bytes frei
Nach Suchlauf: 570.662.912 Bytes frei

- - End Of File - - DEB35B31A2143215DB89E8E3851FBC12
         

viele Grüsse

Lutz

Zitat:

der lauf mit dem Script hat mir jetzt den Treiber der FAST AVMaster gelöscht avmwav32.drv und den Treiber der RedLab AD Wandler Box CBUL32.sys

Ups, die Dinger sahen stark nach Malware aus weil Google keine entsprechenden Infos über Treiber brachte und da frag ich dann auch nicht mehr beim TO nach...
Du bekommst die treiber aber wieder lauffähig oder?

Hi Arne,

keine Sorge, wird schon klappen

ist denn sonst aus deiner Sicht alles i.O. jetzt

die FAST AV Master ist ja auch kein alltägliches Produkt und die Messhardware von Meilhaus Electronic erst recht nicht.

viele Grüsse

Lutz