Trojaner auf dem Rechner?! Brauche dringend Hilfe!

Marvin90 · 18.01.2010, 17:21

Hallo Leute!
Ich habe auf meinem Rechner seit gestern einen Virus, nachdem ich (ausnahmsweise) den Internet Explorer 7 benutzt habe.
Mein Antivir funktioniert nicht mehr, d.h. ich habe keinen Zugriff mehr auf das Programm. Ich habe auch schon eine Systemwiederherstellung versucht, leider ohne Erfolg. Nicht einmal das installieren von Kaspersky etc. hat was gebracht.

Ich habe mir auch schon die anderen Tipps hier im Forum angeguckt, aber ich komme leider nicht alleine weiter! Ich brauche umbedingt professionelle Hilfe!!

Kurz zur Situation:
Es erscheinen ständig neue "Security Center Alert" Hinweise mit folgenden Viren:
- Backdoor.Win32agent.ich
- Rootkit.Win32.Agent.pp
- Trojan.Win.Agent.dcc
- Trojan-Downloader.JS.Multi.ca
und noch weitere..

Der PC versucht mir die ganze Zeit so ein Malware Defense anzudrehen und es kommt andauernd der Sicherheitscenter auf Englisch. Ach ja, der PC wird ab und zu auch mal einfach runtergefahren. Ich habe plötzlich Porno-Icons auf dem Destop.

Kann mir bitte jemand helfen??
Ich verzweifle sonst...

cosinus · 18.01.2010, 21:55

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Marvin90 · 19.01.2010, 17:39

hi und danke für die schnelle antwort!
Ja ich habe schon den scan mit CCleaner gemacht aber mir Malwarebytes funktioniert das bei mir irgendwie nicht.
ich habe mir das programm an diesem PC (schreibe gerade von einem anderen Pc) runtergeladen und habe es per USB stick auf den befallenen pc gepackt.
Ich habe versucht es zu installieren doch wenn die setup datei kurz beim beenden der installation ist, dann friert die installation ein und nichts passiert mehr! D.h. ich kann gar keinen scan erst starten..
kann ich Malwarebytes irgendwie anders auf den pc bekommen??

cosinus · 19.01.2010, 19:03

Poste erstmal das RSIT-Log und mach auch noch einen Scan mit GMER und poste auch das Log - wir bringen Malwarebytes danach noch zum Laufen

Marvin90 · 19.01.2010, 21:37

okay alles klar ich werde die logs posten.
Ich bin jetzt dummerweise beruflich die nächsten 2 tage weg. poste die logs am freitag! ich hoffe das ist okay..
soll ich meinen pc vom strom abstöpseln? frisst sich der virus sonst weiter in den pc?

cosinus · 19.01.2010, 21:45

Zitat:

Zitat von Marvin90

frisst sich der virus sonst weiter in den pc?

Das ist doch nicht Dein Ernst-August

Fahre ihn normal herunter oder lässt Du Deine PCs immer an, 24/7?

Marvin90 · 19.01.2010, 22:02

So meinte ich das nicht

ja, ich werde den pc runterfahren.
Bis Freitag dann!

Marvin90 · 20.01.2010, 15:00

Hi!
Hab's doch schon etwas eher geschafft.
Hier ist der RSIT Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Mav at 2010-01-20 14:47:21
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 85 GB (36%) free of 238 GB
Total RAM: 1023 MB (57% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}]
XTTBPos00 Class - C:\PROGRA~1\ICQTOO~1\4849\toolbaru.dll [2006-12-25 701952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2009-02-27 61816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll [2009-05-25 68112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar1.dll [2008-02-11 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-09 764912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-06-16 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll [2009-05-25 264720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-16 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
SweetIM Toolbar Helper - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll [2009-05-20 1258808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar1.dll [2008-02-11 2427968]
{EEE6C35B-6118-11DC-9C72-001320C79847} - SweetIM Toolbar for Internet Explorer - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll [2009-05-20 1258808]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-11-11 90112]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2005-08-12 45056]
"Muscbrigade"=c:\Musicbrigade\Musicbrigade.exe [2005-12-20 40960]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-06-16 148888]
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2005-03-17 57393]
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2005-03-17 40960]
"BrMfcWnd"=C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2006-03-28 622592]
"SetDefPrt"=C:\Programme\Brother\Brmfl06a\BrStDvPt.exe [2005-01-26 49152]
"ControlCenter3"=C:\Programme\Brother\ControlCenter3\brctrcen.exe [2006-04-10 61440]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-03-28 413696]
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344]
"SweetIM"=C:\Programme\SweetIM\Messenger\SweetIM.exe [2009-05-20 111928]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe [2009-05-25 303376]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE [2004-02-03 401491]
"Mobipocket Reader Notifications"=C:\Programme\Mobipocket.com\Mobipocket Reader\readernotify.exe [2006-06-20 57344]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-02-10 68856]
"cls_pack.exe"=C:\DOKUME~1\Mav\LOKALE~1\Temp\cls_pack.exe [2010-01-17 712704]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe [2008-12-10 216520]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
C:\Programme\D-Tools\daemon.exe -lang 1033 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2008-03-30 267048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
~C:\Programme\Windows Live\Messenger\msnmsgr.exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe /command:faststart []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2006-11-24 487424]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^D-Link AirPlus G+ Wireless Adapter Utility.lnk]
C:\PROGRA~1\D-Link\D-LINK~1\DWLGTI.EXE [2004-08-24 671744]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
C:\PROGRA~1\Google\GOOGLE~2\GOOGLE~1.EXE [2009-04-18 161776]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Nokia Ovi Suite.lnk]
C:\PROGRA~1\Nokia\Ovi\Suite\RUNLAU~1.EXE [2008-11-11 946176]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-11-11 47616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2009-05-25 219664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Dokumente und Einstellungen\Mav\Desktop\Battlefield 1942\BF1942.exe"="C:\Dokumente und Einstellungen\Mav\Desktop\Battlefield 1942\BF1942.exe:*:Enabled:BF1942"
"\\MENINGOCOCCUS\CALL OF DUTY\CoDMP.exe"="\\MENINGOCOCCUS\CALL OF DUTY\CoDMP.exe:*:Enabled:CoDMP.exe"
"C:\Dokumente und Einstellungen\Mav\Desktop\Call of Duty\Call of Duty\CoDMP.exe"="C:\Dokumente und Einstellungen\Mav\Desktop\Call of Duty\Call of Duty\CoDMP.exe:*:Enabled:CoDMP"
"C:\Dokumente und Einstellungen\Mav\Desktop\cs\hl.exe"="C:\Dokumente und Einstellungen\Mav\Desktop\cs\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Dokumente und Einstellungen\Mav\Desktop\Spiele\cs\hl.exe"="C:\Dokumente und Einstellungen\Mav\Desktop\Spiele\cs\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\Programme\Microsoft ActiveSync\WcesMgr.exe"="C:\Programme\Microsoft ActiveSync\WcesMgr.exe:*:Enabled:ActiveSync Application"
"C:\Dokumente und Einstellungen\Mav\Desktop\Spiele\Call of Duty\Call of Duty\CoDMP.exe"="C:\Dokumente und Einstellungen\Mav\Desktop\Spiele\Call of Duty\Call of Duty\CoDMP.exe:*:Enabled:CoDMP"
"C:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe"="C:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\Programme\Codemasters\Race Driver 3\RD3.exe"="C:\Programme\Codemasters\Race Driver 3\RD3.exe:*:Enabled:RaceDriver 3 Application"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Hamachi\hamachi.exe"="C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi Client"
"C:\Programme\EA GAMES\Battlefield 2\BF2.exe"="C:\Programme\EA GAMES\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2"
"C:\Programme\EA GAMES\Need for Speed Most Wanted\speed.exe"="C:\Programme\EA GAMES\Need for Speed Most Wanted\speed.exe:*:Enabled:speed"
"C:\Programme\Xfire\xfire.exe"="C:\Programme\Xfire\xfire.exe:*:Enabled:Xfire"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Programme\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe"="C:\Programme\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE"="C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE:*:Enabled:GMX MultiMessenger"
"C:\Programme\devolo\informer\devinf.exe"="C:\Programme\devolo\informer\devinf.exe:*:Enabled:devolo Informer"
"C:\Programme\devolo\easyshare\easyshare.exe"="C:\Programme\devolo\easyshare\easyshare.exe:*:Enabled:devolo EasyShare"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood"
"C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: "
"C:\Programme\Activision\Rome - Total War\RomeTW.exe"="C:\Programme\Activision\Rome - Total War\RomeTW.exe:*:Enabled:Rome: Total War"
"C:\Programme\Counter-Strike Source\hl2.exe"="C:\Programme\Counter-Strike Source\hl2.exe:*:Enabled:hl2"
"C:\Programme\Sierra\SWAT 4\Content\System\Swat4.exe"="C:\Programme\Sierra\SWAT 4\Content\System\Swat4.exe:*:Enabled:SWAT 4"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:*:Enabled:TwonkyMedia"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:*:Enabled:TwonkyMediaServer"
"C:\Programme\Klebezettel NG\klebez.exe"="C:\Programme\Klebezettel NG\klebez.exe:*:Enabled:Elektronische Haftnotizen für Windows"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Dokumente und Einstellungen\Mav\Desktop\Cod2\Call of Duty 2\CoD2MP_s.exe"="C:\Dokumente und Einstellungen\Mav\Desktop\Cod2\Call of Duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe"="C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe:*:Enabled:Microsoft Flight Simulator"
"C:\Programme\Messenger\Msmsgs.exe"="C:\Programme\Messenger\Msmsgs.exe:*:Enabled:Windows Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2010-01-18 18:48:59 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-18 18:48:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-18 17:59:16 ----D---- C:\Programme\Malw.rebytes' An.i-Mal.are
2010-01-18 16:09:42 ----D---- C:\Programme\a-squared Free
2010-01-18 13:18:42 ----DC---- C:\rsit
2010-01-18 13:18:42 ----D---- C:\Programme\trend micro
2010-01-18 13:17:05 ----DC---- C:\Virus töten Versuch
2010-01-17 23:20:35 ----D---- C:\Programme\Avira
2010-01-17 23:20:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2010-01-17 23:07:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-01-17 22:14:52 ----D---- C:\Programme\Kaspersky Lab
2010-01-17 21:52:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-01-17 16:38:12 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
2010-01-13 17:21:08 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-13 17:20:33 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-01-06 14:24:08 ----D---- C:\Dokumente und Einstellungen\Mav\Anwendungsdaten\dvdcss

======List of files/folders modified in the last 1 months======

2010-01-20 14:46:48 ----D---- C:\WINDOWS
2010-01-20 14:36:14 ----SD---- C:\WINDOWS\Tasks
2010-01-20 14:36:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2010-01-20 14:35:54 ----D---- C:\WINDOWS\Temp
2010-01-18 20:33:40 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-18 19:06:53 ----RAD---- C:\Programme
2010-01-18 19:03:36 ----SHD---- C:\WINDOWS\Installer
2010-01-18 19:02:01 ----D---- C:\WINDOWS\Prefetch
2010-01-18 18:53:51 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-18 18:50:37 ----D---- C:\Programme\Mozilla Firefox
2010-01-18 18:49:01 ----D---- C:\WINDOWS\system32\drivers
2010-01-18 17:02:31 ----D---- C:\WINDOWS\system32
2010-01-17 23:20:41 ----HD---- C:\WINDOWS\inf
2010-01-17 23:20:03 ----D---- C:\WINDOWS\WinSxS
2010-01-17 23:18:33 ----D---- C:\WINDOWS\system32\CatRoot
2010-01-17 20:37:51 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-17 17:39:09 ----D---- C:\WINDOWS\Debug
2010-01-14 22:46:59 ----A---- C:\WINDOWS\AviSplitter.INI
2010-01-14 16:36:19 ----D---- C:\Dokumente und Einstellungen\Mav\Anwendungsdaten\gtk-2.0
2010-01-13 19:19:34 ----D---- C:\WINDOWS\AppPatch
2010-01-13 17:21:10 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-13 17:21:07 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-10 19:44:21 ----D---- C:\Dokumente und Einstellungen\Mav\Anwendungsdaten\ICQ
2010-01-08 17:56:22 ----D---- C:\Programme\Google
2010-01-05 22:02:40 ----D---- C:\Programme\ICQ6.5
2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe
2009-12-23 19:08:30 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-12-21 17:18:05 ----DC---- C:\output

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 36352]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-05-24 296976]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 ACEDRV06;ACEDRV06; \??\C:\WINDOWS\system32\drivers\ACEDRV06.sys []
R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys []
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver; C:\WINDOWS\system32\plcndis5.sys [2004-05-17 17280]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-11-22 3804416]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-11-11 1396224]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472]
R3 L8042mou;Logitech SetPoint PS/2 Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\L8042mou.Sys [2004-12-10 52992]
R3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys [2004-12-10 68992]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-06-30 33664]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-06-30 12928]
R3 odysseyIM3;Odyssey Network Services Miniport; C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-08-20 62865]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 A_USBETHMP;USB PowerPacket Network Adapter; C:\WINDOWS\System32\Drivers\usbethmp.sys [2004-11-22 14342]
S3 apc6b8bk;apc6b8bk; C:\WINDOWS\system32\drivers\apc6b8bk.sys []
S3 Bridge;MAC-Brücke; C:\WINDOWS\system32\DRIVERS\bridge.sys [2008-04-13 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\system32\DRIVERS\bridge.sys [2008-04-13 71552]
S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 15295]
S3 GcKernel;Microsoft SideWinder Value Add - Filtertreiber; C:\WINDOWS\system32\DRIVERS\GcKernel.sys [2008-04-13 59136]
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-05-28 25280]
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-05-28 25280]
S3 HIDSwvd;Microsoft SideWinder-Minitreiber für virtuelles HID-Gerät; C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys [2001-08-17 2688]
S3 k750bus;Sony Ericsson 750 driver (WDM); C:\WINDOWS\system32\DRIVERS\k750bus.sys [2005-02-11 55216]
S3 k750mdfl;Sony Ericsson 750 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\k750mdfl.sys [2005-02-11 6576]
S3 k750mdm;Sony Ericsson 750 USB WMC Modem Drivers; C:\WINDOWS\system32\DRIVERS\k750mdm.sys [2005-02-11 89872]
S3 k750mgmt;Sony Ericsson 750 USB WMC Device Management Drivers; C:\WINDOWS\system32\DRIVERS\k750mgmt.sys [2005-02-11 81728]
S3 k750obex;Sony Ericsson 750 USB WMC OBEX Interface Drivers; C:\WINDOWS\system32\DRIVERS\k750obex.sys [2005-02-11 79488]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2008-09-15 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2008-09-15 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PLCMPR5.SYS []
S3 PnkBstrK;PnkBstrK; \??\C:\WINDOWS\system32\drivers\PnkBstrK.sys []
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 TNET1130;D-Link AirPlus G+ Wireless Adapter; C:\WINDOWS\system32\DRIVERS\GPlus.sys [2004-05-21 283392]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2008-09-15 8064]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2003-12-22 104064]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 a2free;a-squared Free Service; C:\Programme\a-squared Free\a2service.exe [2009-10-01 1858144]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-02-18 110592]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-11-11 389120]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-06-16 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2007-08-28 66872]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-05-26 201352]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
S2 AVP;Kaspersky Anti-Virus; C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe [2009-05-25 303376]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-01-08 135664]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-18 183280]
S2 TwonkyMedia;TwonkyMedia; C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe [2008-10-20 102400]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 1527900]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-03-30 504104]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Marvin90 · 20.01.2010, 15:04

Der GMER Scan läuft gerade noch. Werde ihn so schnell es geht posten!
Ich hoffe du kannst mit dem was ich gepostet habe schonmal was anfangen.
LG

Marvin90 · 20.01.2010, 16:01

so jetzt ist auch der GMER Scan durch gelaufen. Hat mir gesagt, dass er was gefunden hat durch "Rootkit activity"
Also hier der GMER log:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-20 15:55:41
Windows 5.1.2600 Service Pack 3
Running: r1gmmu10.exe; Driver: C:\DOKUME~1\Mav\LOKALE~1\Temp\pgtdypod.sys

---- System - GMER 1.0.15 ----

INT 0x62 ? 86D70BF8
INT 0x63 ? 86D70BF8
INT 0x73 ? 86D70BF8
INT 0x82 ? 86D70BF8
INT 0xA4 ? 86B5FBF8
INT 0xB4 ? 86B5FBF8

Code 869DFB70 ZwEnumerateKey
Code 869DFE58 ZwFlushInstructionCache
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous
Code 869DF4F6 IofCallDriver
Code 869DF13E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9FA0 5 Bytes JMP AAF3A410 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 869DF4FB
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 869DF143
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE87E 5 Bytes JMP AAF3A7CA \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC6 5 Bytes JMP 869DFE5C
PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB72 5 Bytes JMP 869DFB74
? spng.sys Das System kann die angegebene Datei nicht finden. !
.sfrelocÿÿÿÿsfsync04unknown last section [0xF722D000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xF722D000, 0xBC6, 0x40000040]
.sfrelocÿÿÿÿsfsync03unknown last section [0xF74D4000, 0xA20, 0x40000040] C:\WINDOWS\system32\drivers\sfsync03.sys unknown last section [0xF74D4000, 0xA20, 0x40000040]
.text USBPORT.SYS!DllUnload F5C7E8AC 5 Bytes JMP 86B5F1D8
.text C:\WINDOWS\system32\drivers\ACEDRV06.sys section is writeable [0xA4F15000, 0x319AA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV06.sys entry point in ".pklstb" section [0xA4F58000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV06.sys unknown last section [0xA4F73000, 0x8E, 0x42000040]
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xA4EB3000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xA4EF7000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xA4F13000, 0x8E, 0x42000040]
.text HTTP.sys A384A31E 3 Bytes [1B, 86, A3]
.text HTTP.sys A384A34D 3 Bytes [1B, 86, A3]
.text HTTP.sys A384A373 3 Bytes [18, 86, A3]
.text HTTP.sys A384A3AE 3 Bytes [18, 86, A3]
.text HTTP.sys A384A405 3 Bytes [18, 86, A3]
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\spoolsv.exe[188] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C2000A
.text C:\Programme\a-squared Free\a2service.exe[416] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E8000A
.text C:\Programme\a-squared Free\a2service.exe[416] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D C:\Programme\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[468] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BF000A
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[692] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E9000A
.text C:\Programme\Java\jre6\bin\jqs.exe[756] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C0000A
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[792] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E9000A
.text C:\WINDOWS\system32\PnkBstrA.exe[856] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CE000A
.text ...
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 412D2056 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 412D1FD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 412D201B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 412D1F63 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 412D1F9D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 412D2091 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 411817EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 412D2253 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!HttpAddRequestHeadersA 408C632F 5 Bytes JMP 00EC000A
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!HttpOpenRequestA 408CAA7B 2 Bytes JMP 00FC000A
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!HttpOpenRequestA + 3 408CAA7E 2 Bytes [6F, C0]
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!InternetConnectA 408CB0D2 5 Bytes JMP 00FE000A
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!InternetConnectW 408CC2C0 5 Bytes JMP 00FD000A
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!HttpOpenRequestW 408CC49A 5 Bytes JMP 00FB000A
.text C:\Programme\Internet Explorer\iexplore.exe[3860] WININET.dll!HttpAddRequestHeadersW 4092A4C5 5 Bytes JMP 00FA000A
.text C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE[3896] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E5000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7288040] spng.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F728813C] spng.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72880BE] spng.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F72887FC] spng.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72886D2] spng.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7298048] spng.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86D6F1F8
Device \FileSystem\Fastfat \FatCdrom 86812500
Device \Driver\NetBT \Device\NetBT_Tcpip_{F5FCBA1D-2C7D-4EA6-9DD1-71DE4B79588A} 867BD1F8
Device \Driver\usbstor \Device\0000008f 868FD368
Device \Driver\usbstor \Device\0000008f sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbohci \Device\USBPDO-0 86B571F8
Device \Driver\usbehci \Device\USBPDO-1 86B4B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 86D711F8
Device \Driver\PCI_PNP3276 \Device\00000068 spng.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 867BD1F8
Device \Driver\NetBT \Device\NetbiosSmb 867BD1F8
Device \Driver\usbstor \Device\00000092 868FD368
Device \Driver\usbstor \Device\00000092 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvata \Device\00000086 86D701F8
Device \Driver\nvata \Device\00000086 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000093 868FD368
Device \Driver\usbstor \Device\00000093 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000094 868FD368
Device \Driver\usbstor \Device\00000094 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000095 868FD368
Device \Driver\usbstor \Device\00000095 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvata \Device\00000088 86D701F8
Device \Driver\nvata \Device\00000088 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000096 868FD368
Device \Driver\usbstor \Device\00000096 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbohci \Device\USBFDO-0 86B571F8
Device \Driver\usbehci \Device\USBFDO-1 86B4B1F8
Device \Driver\nvata \Device\NvAta0 86D701F8
Device \Driver\nvata \Device\NvAta0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 868C91F8
Device \Driver\nvata \Device\NvAta1 86D701F8
Device \Driver\nvata \Device\NvAta1 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\MRxSmb \Device\LanmanRedirector 868C91F8
Device \Driver\nvata \Device\NvAta2 86D701F8
Device \Driver\nvata \Device\NvAta2 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\FtControl 86D711F8
Device \Driver\sptd \Device\513654526 spng.sys
Device \Driver\apc6b8bk \Device\Scsi\apc6b8bk1 86ADB1F8
Device \Driver\apc6b8bk \Device\Scsi\apc6b8bk1 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\apc6b8bk \Device\Scsi\apc6b8bk1Port3Path0Target0Lun0 86ADB1F8
Device \Driver\apc6b8bk \Device\Scsi\apc6b8bk1Port3Path0Target0Lun0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat 86812500

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 868E5500

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRToenkvrndpq.sys (*** hidden *** ) AAA27000-AAA44000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [376] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [956] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [1252] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1640] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1716] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1784] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1920] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2016] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [3860] 0x01010000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRToenkvrndpq.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRToenkvrndpq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRToenkvrndpq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTjyiqhypkha.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTbwrtltnipp.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTqpxexwpnud.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTmspwqjbabo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x74 0x31 0xF4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x05 0xFD 0x3C 0x85 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x67 0x17 0x02 0xCC ...
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRToenkvrndpq.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRToenkvrndpq.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTjyiqhypkha.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTbwrtltnipp.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTqpxexwpnud.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTmspwqjbabo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x74 0x31 0xF4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x05 0xFD 0x3C 0x85 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x67 0x17 0x02 0xCC ...

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\autorun.inf 46 bytes
File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\bootfont.bin 4952 bytes
File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\bootsect.bin 2048 bytes
File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\i386 0 bytes
File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\Programs 0 bytes
File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\win51ic 0 bytes
File C:\Dokumente und Einstellungen\Mav\Desktop\Unwichtiges\Notfall\i386\win51ic.sp2 0 bytes
File C:\Dokumente und Einstellungen\Mav\Lokale Einstellungen\Temp\H8SRTe3de.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Mav\Lokale Einstellungen\Temp\h8srtmainqt.dll 16717 bytes
File C:\ISP\T-online\T-Online\Software\Virenschutz\NAV\instopts.dat (size mismatch) 616128/2020 bytes executable
File C:\MAGIX\Fotos_auf_CD_45\GoMoP2.dll (size mismatch) 696320/688128 bytes executable
File C:\MAGIX\Video_deLuxe_2005_2006_SE\Plugins\translation.ini (size mismatch) 905216/719 bytes executable
File C:\MAGIX\Video_deLuxe_2005_2006_SE\RegModule\MuxWriter.ax (size mismatch) 174080/36864 bytes executable
File C:\Magix MediaSuite 2005\MediaSuite_2005.exe (size mismatch) 152890580/72318038 bytes executable
File C:\MSWorks\Common\MSShared\Textconv\wkcvqd01.dll (size mismatch) 216640/929792 bytes executable
File C:\MSWorks\PFiles\MSWorks\WkPrjAPI.dll (size mismatch) 253952/81920 bytes executable
File C:\MSWorks\Redist\IE6\IECIF.cab (size mismatch) 496888/15436 bytes executable
File C:\Programme\Ahead\NeroVision\DVDEngine.dll (size mismatch) 618496/1445888 bytes executable
File C:\Programme\Brother\Brmfl06a\AddrBook.exe (size mismatch) 471040/577536 bytes executable
File C:\Programme\Brother\Brmfl06a\Pdrvinst.dll (size mismatch) 409600/188416 bytes executable
File C:\Programme\Malware Defense 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\boeing737-400.air 8897 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\boeing737-400_check.htm 59856 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\boeing737-400_ref.htm 10483 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\model 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\panel 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\sound 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\texture 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\texture.1 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\texture.2 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\texture.3 0 bytes
File C:\Programme\Microsoft Games\Flight Simulator 9\Aircraft\b737_400\texture.3\texture.4 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\AERIAL 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\AKFLOAT 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\CHOPPER 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\DSRTADV 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\EUROPE 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\FS2KADV 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\FS2KFLTS 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\HAWAII 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\MYFLTS 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\OTHER 0 bytes
File C:\Programme\Microsoft Games\FS2002\FLIGHTS\CARGO\SCENIC 0 bytes
File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Proof\ctapi3t2.dll (size mismatch) 65593/45121 bytes executable
File C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\MSVCRTD.DLL (size mismatch) 544768/434252 bytes executable

---- EOF - GMER 1.0.15 ----

was muss ich als nächstes machen?

Marvin90 · 20.01.2010, 16:07

Zitat:

Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [376] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [956] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [1252] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1640] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1716] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1784] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1920] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2016] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTioaotttrfv.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [3860] 0x01010000

ich weiß ja nicht ob das wichtig ist aber diese "Library" Angaben waren alle in Rot!
LG

cosinus · 20.01.2010, 16:31

@Highflyer, erstell einen eigenen Strang!

@marvin90: Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig) - Alternativdownload hier als "avgnr.exe" => avgnr.exe

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" (bzw. avgnr.exe) aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

drivers to delete:
h8srtd.sys

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Unverzüglich Malwarebytes ausführen, Programmupdate fahren, VOLLSCAN machen, alle Funde entfernen, Log posten!

Marvin90 · 22.01.2010, 22:16

habe das mit avenger gemacht! hier ist der log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRToenkvrndpq.sys
Driver disabled successfully.

Rootkit scan completed.

Driver "h8srtd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Marvin90 · 22.01.2010, 22:19

Nach avenger ist ein neustart wie von dir beschrieben gemacht worden. nach dem neustart hat mir der pc folgendes angezeigt: SweetIM.exe konnte nicht gestartet werden, weil mgAdaptersProxy.dll nicht gefunden wurde.

Ich weiß nicht ob das irgendwie wichtig ist. nur damit du bescheid weißt.

mache jetzt noch die anderen von dir beschriebenen schritte.

Marvin90 · 23.01.2010, 11:11

MalwareBytes lief jetzt mit dem vollscan durch! hat geklappt

habe vorher aber kein programmupdate gemacht, weil der pc nicht am i-net war.
nach dem scan habe ich die dateien entfernt und nach dem neustart ist sogar antivir wieder aktiviert worden!
Der Sicherheitscenter ist aber immer noch nicht sichtbar für mich. Da steht noch, dass er gestoppt oder beendet wurde..

So hier ist erstmal der MalwareBytes-Log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

23.01.2010 09:39:28
mbam-log-2010-01-23 (09-39-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 426938
Laufzeit: 2 hour(s), 47 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8fcdf9d9-a28b-480f-8c3d-581f119a8ab8} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Mav\Lokale Einstellungen\Temp\Installer.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E71BB283-516A-482B-BBEE-F2A64617849B}\RP655\A0129658.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTioaotttrfv.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTjyiqhypkha.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTmspwqjbabo.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTqpxexwpnud.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTbwrtltnipp.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRToenkvrndpq.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mav\Lokale Einstellungen\Temp\H8SRTe3de.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\4849\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.

19.01.2010, 19:03	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner auf dem Rechner?! Brauche dringend Hilfe! Poste erstmal das RSIT-Log und mach auch noch einen Scan mit GMER und poste auch das Log - wir bringen Malwarebytes danach noch zum Laufen __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner auf dem Rechner?! Brauche dringend Hilfe!

Plagegeister aller Art und deren Bekämpfung: Trojaner auf dem Rechner?! Brauche dringend Hilfe!