Hallo, ich habe seid ein paar Tagen Probleme mit Schadsoftware. Aufgefallen ist mir das ganze , da neuerdings meine Internetverbindung eigenständig getrennt wird. Nach Neustart und mehreren Versuchen kann ich diese zwar revidieren aber nach einiger Zeit wird saie wieder getrennt. Also hab ich ich auf die suche gemacht. Hardware konnte ich schnell ausschliessen. Also habe ich über AV
dieses gefunden:1. TR/Dldr.WMA.Wima.AJ, 2.EXP/ASF.GetCodec.Gen
3.TR/Trash.Gen. Ich habe die Dateien in quarantäne verschoben und gelöscht.
Zusätzlich habe ich Malwarebytes laufen lassen und dieses gefunden:
*:\ToolsundTreiber\Software\vtl-bf2k.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ich habe das Board durchsucht und nach Anleitungen gesucht welche "exakt"auf mein Problem hinarbeiten, habe allerdings nichts wirklich vergleichbares gefunden und daher Teile zusammengestellt. Unter anderem habe ich auch GMER probiert was allerdings zu einem Bluesceen geführt hat und zwar 2mal an der selben Stelle. AV und Malwarebytes haben nun keinen Befund mehr aber mein INetproblem besteht weiter. Ich habe die einzelnen Probleme gegoogelt und vor allem hier im Board gesucht .Ich wäre sehr dankbar wenn sich jemand dieses Problems annehmen könnte.

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:09:09, on 03.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O3 - Toolbar: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips...an-canvasx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1248958301468
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CEF241-137B-48D8-8C0B-D4236C794014}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1ca1e9e1039e098) (gupdate1ca1e9e1039e098) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Anmerken sollte ich noch das trotz beschreibungen in denen dies verlangt war ich mich nicht in der Lage sehe den AV auszuschalten. Der Verweigert mir auf der ganzen linie den Zugriff zum abschalten.

Ich hoffe ich habe alle Regeln befolgt und jemand kann mir weiterhelfen.
Danke und MfG

Ich bin noch eine liste durchgegangen und reiche nach:
VOM ccLEANER.
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Ungültiges Standardsymbol C:\Programme\Zone Labs\ZoneAlarm\UpdClient.exe,-279 HKCR\ZAMailSafe\DefaultIcon

Von Malwarebytes:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3677
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.02.2010 11:34:36
mbam-log-2010-02-03 (11-34-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 231309
Laufzeit: 59 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Logfile of random's system information tool 1.06 (written by random/random)
Run by gg at 2010-02-03 19:21:32
Microsoft Windows XP Professional Service Pack 2
System drive C: has 10 GB (30%) free of 32 GB
Total RAM: 2815 MB (85% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:42, on 03.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\gg\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\gg.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O3 - Toolbar: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips...an-canvasx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1248958301468
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CEF241-137B-48D8-8C0B-D4236C794014}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1ca1e9e1039e098) (gupdate1ca1e9e1039e098) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6019 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Driver Robot.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-07-15 1586472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{937f343c-c9c2-4235-b544-7fc4da2f2594}]
Suche Deutschland Toolbar - C:\Programme\Suche_Deutschland\tbSuc0.dll [2009-11-07 2166296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{937f343c-c9c2-4235-b544-7fc4da2f2594} - Suche Deutschland Toolbar - C:\Programme\Suche_Deutschland\tbSuc0.dll [2009-11-07 2166296]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"nwiz"=C:\Programme\NVIDIA Corporation\nView\nwiz.exe [2009-07-08 1657376]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-07-14 13877248]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-07-14 86016]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-26 31016]
"CmUsbSound"=RunDll32 cmcnfgu.cpl,CMICtrlWnd []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-08-04 18702336]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe [2005-09-03 94208]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe -autorun []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\System32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [2008-07-02 397312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Steam\Steam.exe [2009-10-24 1217808]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^2Mega Camera Manager Monitor.lnk]
C:\PROGRA~1\MD40323\ICON.EXE [2003-06-11 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Steam\steamapps\common\left 4 dead\left4dead.exe"="C:\Programme\Steam\steamapps\common\left 4 dead\left4dead.exe:*:Enabled:Left 4 Dead"
"D:\Steam\steamapps\common\left 4 dead\left4dead.exe"="D:\Steam\steamapps\common\left 4 dead\left4dead.exe:*:Enabled:Left 4 Dead"
"D:\Steam\steamapps\common\left 4 dead 2\left4dead2.exe"="D:\Steam\steamapps\common\left 4 dead 2\left4dead2.exe:*:Enabled:Left 4 Dead 2"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-02-03 19:21:34 ----D---- C:\Programme\trend micro
2010-02-03 19:21:32 ----D---- C:\rsit
2010-02-03 11:46:36 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-02-02 18:49:46 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-02 18:49:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-02 14:06:10 ----D---- C:\Programme\TrendMicro
2010-02-02 11:26:54 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Malwarebytes
2010-02-02 11:26:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-02 11:26:46 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-02-02 10:44:34 ----D---- C:\Programme\CCleaner
2010-01-18 16:27:26 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Mozilla
2010-01-18 16:27:14 ----D---- C:\Programme\Mozilla Firefox

======List of files/folders modified in the last 1 months======

2010-02-03 19:21:42 ----D---- C:\WINDOWS\Prefetch
2010-02-03 19:21:34 ----RD---- C:\Programme
2010-02-03 19:21:34 ----D---- C:\WINDOWS\Internet Logs
2010-02-03 18:16:32 ----D---- C:\WINDOWS\Temp
2010-02-03 17:44:06 ----D---- C:\WINDOWS\Minidump
2010-02-03 17:44:06 ----D---- C:\WINDOWS
2010-02-03 17:19:32 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-03 17:17:44 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-02-03 17:05:41 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\vlc
2010-02-03 11:54:15 ----D---- C:\WINDOWS\system32
2010-02-03 11:46:50 ----HD---- C:\WINDOWS\inf
2010-02-03 11:46:46 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-03 11:46:27 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-02 14:06:11 ----SHD---- C:\WINDOWS\Installer
2010-02-02 14:06:11 ----SD---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Microsoft
2010-02-02 12:47:45 ----A---- C:\WINDOWS\NeroDigital.ini
2010-02-02 12:31:48 ----D---- C:\WINDOWS\system32\drivers
2010-02-02 12:31:48 ----D---- C:\WINDOWS\Help
2010-02-02 10:47:00 ----D---- C:\WINDOWS\Debug
2010-02-02 00:26:41 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Skype
2010-02-02 00:04:46 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\skypePM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-02-13 45416]
R1 avipbb;avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 SASDIFSV;SASDIFSV; \??\C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-11 55656]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-18 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-08-05 5874176]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-07-14 7741664]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-02-17 34176]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-02-17 13056]
R3 seehcri;Sony Ericsson seehcri Device Driver; C:\WINDOWS\System32\DRIVERS\seehcri.sys [2008-01-09 27632]
R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys []
S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys []
S1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-03 40192]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 Ca100v;2Mega Camera, WDM Video Capture; C:\WINDOWS\System32\Drivers\Ca100v.sys [2002-09-01 516635]
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmudau;C-Media USB Sound Interface; C:\WINDOWS\system32\drivers\cmudau.sys [2005-06-09 1383104]
S3 epmntdrv;epmntdrv; \??\C:\WINDOWS\system32\epmntdrv.sys []
S3 EuGdiDrv;EuGdiDrv; \??\C:\WINDOWS\system32\EuGdiDrv.sys []
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM); C:\WINDOWS\System32\DRIVERS\s0017bus.sys [2008-05-27 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter; C:\WINDOWS\System32\DRIVERS\s0017mdfl.sys [2008-05-27 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver; C:\WINDOWS\System32\DRIVERS\s0017mdm.sys [2008-05-27 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM); C:\WINDOWS\System32\DRIVERS\s0017mgmt.sys [2008-05-27 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS); C:\WINDOWS\System32\DRIVERS\s0017nd5.sys [2008-05-27 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface; C:\WINDOWS\System32\DRIVERS\s0017obex.sys [2008-05-27 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM); C:\WINDOWS\System32\DRIVERS\s0017unic.sys [2008-05-27 117672]
S3 s117bus;Sony Ericsson Device 117 driver (WDM); C:\WINDOWS\System32\DRIVERS\s117bus.sys [2007-06-25 82984]
S3 s117mdfl;Sony Ericsson Device 117 USB WMC Modem Filter; C:\WINDOWS\System32\DRIVERS\s117mdfl.sys [2007-06-25 14888]
S3 s117mdm;Sony Ericsson Device 117 USB WMC Modem Driver; C:\WINDOWS\System32\DRIVERS\s117mdm.sys [2007-06-25 108456]
S3 s117mgmt;Sony Ericsson Device 117 USB WMC Device Management Drivers (WDM); C:\WINDOWS\System32\DRIVERS\s117mgmt.sys [2007-06-25 100264]
S3 s117nd5;Sony Ericsson Device 117 USB Ethernet Emulation SEMC117 (NDIS); C:\WINDOWS\System32\DRIVERS\s117nd5.sys [2007-06-25 22952]
S3 s117obex;Sony Ericsson Device 117 USB WMC OBEX Interface; C:\WINDOWS\System32\DRIVERS\s117obex.sys [2007-06-25 98344]
S3 s117unic;Sony Ericsson Device 117 USB Ethernet Emulation SEMC117 (WDM); C:\WINDOWS\System32\DRIVERS\s117unic.sys [2007-06-25 98856]
S3 SASENUM;SASENUM; \??\C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USBCamera;DSC Still Image Capture (CA100); C:\WINDOWS\System32\Drivers\Bulk100.sys [2002-07-28 10986]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-07-14 168004]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
S2 gupdate1ca1e9e1039e098;Google Update Service (gupdate1ca1e9e1039e098); C:\Programme\Google\Update\GoogleUpdate.exe [2009-08-16 133104]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-26 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

-----------------EOF-----------------

Hallo, nach 10maligem lesen habe ich nun feststellen müssen das ich eine Regel verletzt habe. Ich habe links in meinen Texten welche nicht editiert sind. Wie kann ich diese nachträglich editieren, oder anders gefragt wie muss ich mich jetzt verhalten damit ich möglicherweise doch eine Antwort erhalte?

Hi, wenn du noch da bist

Ein Thread kann schon mal übersehen werden, kann passieren.

So, ein sauberes Log von Malwarebytes ist zwar schön und gut, interressant ist aber eigentlich das mit Fund(en). Bitte nachreichen, wenn es geht. Dasselbe gilt für die Funde deines AV-Programms.

Da GMER nicht will, lass bitte folgende Programme nacheinander laufen:

1.
Rootkitscan mit RootRepeal

- Lade den Scanner hier herunter:
RootRepeal - RootRepeal - Rootkit Detector
- scrolle runter und downloade RootRepeal.zip.
- Trenne deinen Computer vom Internet
- Deaktiviere dein Firewall und Antivirenprogramm (in deinem Fall wird's wohl nicht gehen, trotzdem weitermachen)
- Entpacke die Datei auf Deinen Desktop.
- Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
- Klicke auf den Reiter Report und dann auf den Button Scan.
- Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
- Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
- Wähle C:\ und klicke wieder Ok.
- Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
- Bitte wärend des Scans nicht am Computer arbeiten!
- Wenn der Suchlauf beendet ist, klicke auf Save Report.
- Speichere das Logfile als RootRepeal.txt auf dem Desktop.
- Kopiere den Inhalt hier in den Thread.
- Aktiviere Antivirenprogramm wieder.

2.
Lade dir bitte den Rootkit Buster von Trend Micro herunter -> entpacken -> ausführen -> Scan Now
Nach dem Scan auf "Ja" -> Das Log wird angezeigt -> Log hier posten.

Hallo, ich freu mich das jemand da ist und bedanke mich für die Antwort.

Ich poste erstmal das Malwb. mit Fund. Die scans mache ich nachher.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3677
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02.02.2010 12:29:29
mbam-log-2010-02-02 (12-29-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 230145
Laufzeit: 1 hour(s), 0 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\ToolsundTreiber\Software\vtl-bf2k.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Scans folgen.

So ich hab jetzt einen scan durchlaufen lassen mitRootrep. Das Prog. hat allerdings einen MBR Readfile Error ausgelöst. error Code = 0x17

Hier das Log:
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/02/05 21:47
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB274E000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xB861E000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xAF98B000 Size: 49152 File Visible: No Signed: -
Status: -

Name: srescan.sys
Image Path: srescan.sys
Address: 0xB7CC2000 Size: 81920 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 031 Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf040

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bb930

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xb872c7c6

#: 046 Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf510

#: 047 Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5870

#: 048 Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5aa0

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c8fd0

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xb872c7bc

#: 056 Function Name: NtCreateWaitablePort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf600

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bbf20

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xb872c7cb

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xb872c7d5

#: 068 Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5580

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xb872c7da

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bbd70

#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5350

#: 128 Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5150

#: 192 Function Name: NtRenameKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c8250

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xb872c7e4

#: 200 Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bec00

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xb872c7df

#: 210 Function Name: NtSecureConnectPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf220

#: 224 Function Name: NtSetInformationFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bc120

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xb872c7d0

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5cd0

==EOF==


AV Berichte Chronologisch

In der Datei 'F:\Favoriten\MSN\Neuer Ordner\***.mp3
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.WMA.Wima.AJ' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'F:\Favoriten\MSN\Neuer Ordner\***.mp3
wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'F:\Favoriten\MSN\Neuer Ordner\***.mp3
wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben


In der Datei 'D:\System Volume Information\_restore{95550236-C0CC-4D22-A944-D7820D8FBF4A}\RP143\A0040209.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


In der Datei 'D:\System Volume Information\_restore{95550236-C0CC-4D22-A944-D7820D8FBF4A}\RP143\A0040209.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\Quarantine\Quarantine - 02-02-2010 - 19-15-08\{A61F9766-7B6F-4D26-9FC1-BC8513D02B48}'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Februar 2010 23:55

Es wird nach 1727978 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LALA-BMJ3OQWC6N

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.1.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 17:05:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 17:05:21
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:05:00
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.1.2010 19:01:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.1.2010 18:08:40
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.1.2010 18:08:40
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.1.2010 18:08:40
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.1.2010 18:08:41
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.1.2010 18:08:41
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.1.2010 18:30:53
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.1.2010 18:30:53
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.1.2010 18:30:53
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.1.2010 18:42:17
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.1.2010 18:42:17
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.1.2010 18:42:17
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.1.2010 18:01:51
VBASE015.VDF : 7.10.3.149 79872 Bytes 1.2.2010 10:36:53
VBASE016.VDF : 7.10.3.174 68608 Bytes 3.2.2010 17:50:16
VBASE017.VDF : 7.10.3.199 76800 Bytes 4.2.2010 17:50:17
VBASE018.VDF : 7.10.3.200 2048 Bytes 4.2.2010 17:50:17
VBASE019.VDF : 7.10.3.201 2048 Bytes 4.2.2010 17:50:17
VBASE020.VDF : 7.10.3.202 2048 Bytes 4.2.2010 17:50:17
VBASE021.VDF : 7.10.3.203 2048 Bytes 4.2.2010 17:50:17
VBASE022.VDF : 7.10.3.204 2048 Bytes 4.2.2010 17:50:17
VBASE023.VDF : 7.10.3.205 2048 Bytes 4.2.2010 17:50:17
VBASE024.VDF : 7.10.3.206 2048 Bytes 4.2.2010 17:50:17
VBASE025.VDF : 7.10.3.207 2048 Bytes 4.2.2010 17:50:17
VBASE026.VDF : 7.10.3.208 2048 Bytes 4.2.2010 17:50:17
VBASE027.VDF : 7.10.3.209 2048 Bytes 4.2.2010 17:50:17
VBASE028.VDF : 7.10.3.210 2048 Bytes 4.2.2010 17:50:18
VBASE029.VDF : 7.10.3.211 2048 Bytes 4.2.2010 17:50:18
VBASE030.VDF : 7.10.3.212 2048 Bytes 4.2.2010 17:50:18
VBASE031.VDF : 7.10.3.213 20992 Bytes 4.2.2010 17:50:18
Engineversion : 8.2.1.158
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.1.2010 18:04:39
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 3.2.2010 10:37:09
AESCN.DLL : 8.1.4.0 127348 Bytes 27.1.2010 18:45:15
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 17:05:22
AERDL.DLL : 8.1.3.4 479605 Bytes 1.12.2009 19:18:36
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.1.2010 17:58:34
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.7.2009 08:59:39
AEHEUR.DLL : 8.1.1.4 2326899 Bytes 3.2.2010 10:37:07
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.1.2010 17:58:23
AEGEN.DLL : 8.1.1.86 369012 Bytes 3.2.2010 10:36:58
AEEMU.DLL : 8.1.1.0 393587 Bytes 3.10.2009 17:18:07
AECORE.DLL : 8.1.11.1 184694 Bytes 3.2.2010 10:36:56
AEBB.DLL : 8.1.0.3 53618 Bytes 9.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 8.9.2009 16:10:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 17:05:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 4. Februar 2010 23:55

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '7397' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\ToolsundTreiber\Software\Druckshop Visitkarten 2.0 (Full)\druckshop visitenkarten 2.0.exe
[0] Archivtyp: CAB SFX (self extracting)
--> \Disk1\DATA\cliparts\Allgemein\wmf\013.wmf
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Freitag, 5. Februar 2010 00:59
Benötigte Zeit: 1:03:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5790 Verzeichnisse wurden überprüft
367077 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
367076 Dateien ohne Befall
13685 Archive wurden durchsucht
3 Warnungen
1 Hinweise
7397 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Februar 2010 21:42

Es wird nach 1727978 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Abgesicherter Modus
Benutzername : Administrator
Computername : LALA-BMJ3OQWC6N

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.1.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 17:05:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 17:05:21
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:05:00
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.1.2010 19:01:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.1.2010 18:08:40
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.1.2010 18:08:40
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.1.2010 18:08:40
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.1.2010 18:08:41
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.1.2010 18:08:41
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.1.2010 18:30:53
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.1.2010 18:30:53
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.1.2010 18:30:53
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.1.2010 18:42:17
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.1.2010 18:42:17
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.1.2010 18:42:17
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.1.2010 18:01:51
VBASE015.VDF : 7.10.3.149 79872 Bytes 1.2.2010 10:36:53
VBASE016.VDF : 7.10.3.174 68608 Bytes 3.2.2010 17:50:16
VBASE017.VDF : 7.10.3.199 76800 Bytes 4.2.2010 17:50:17
VBASE018.VDF : 7.10.3.200 2048 Bytes 4.2.2010 17:50:17
VBASE019.VDF : 7.10.3.201 2048 Bytes 4.2.2010 17:50:17
VBASE020.VDF : 7.10.3.202 2048 Bytes 4.2.2010 17:50:17
VBASE021.VDF : 7.10.3.203 2048 Bytes 4.2.2010 17:50:17
VBASE022.VDF : 7.10.3.204 2048 Bytes 4.2.2010 17:50:17
VBASE023.VDF : 7.10.3.205 2048 Bytes 4.2.2010 17:50:17
VBASE024.VDF : 7.10.3.206 2048 Bytes 4.2.2010 17:50:17
VBASE025.VDF : 7.10.3.207 2048 Bytes 4.2.2010 17:50:17
VBASE026.VDF : 7.10.3.208 2048 Bytes 4.2.2010 17:50:17
VBASE027.VDF : 7.10.3.209 2048 Bytes 4.2.2010 17:50:17
VBASE028.VDF : 7.10.3.210 2048 Bytes 4.2.2010 17:50:18
VBASE029.VDF : 7.10.3.211 2048 Bytes 4.2.2010 17:50:18
VBASE030.VDF : 7.10.3.212 2048 Bytes 4.2.2010 17:50:18
VBASE031.VDF : 7.10.3.213 20992 Bytes 4.2.2010 17:50:18
Engineversion : 8.2.1.158
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.1.2010 18:04:39
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 3.2.2010 10:37:09
AESCN.DLL : 8.1.4.0 127348 Bytes 27.1.2010 18:45:15
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 17:05:22
AERDL.DLL : 8.1.3.4 479605 Bytes 1.12.2009 19:18:36
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.1.2010 17:58:34
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.7.2009 08:59:39
AEHEUR.DLL : 8.1.1.4 2326899 Bytes 3.2.2010 10:37:07
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.1.2010 17:58:23
AEGEN.DLL : 8.1.1.86 369012 Bytes 3.2.2010 10:36:58
AEEMU.DLL : 8.1.1.0 393587 Bytes 3.10.2009 17:18:07
AECORE.DLL : 8.1.11.1 184694 Bytes 3.2.2010 10:36:56
AEBB.DLL : 8.1.0.3 53618 Bytes 9.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 8.9.2009 16:10:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 17:05:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 4. Februar 2010 21:42

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\ToolsundTreiber\Software\Druckshop Visitkarten 2.0 (Full)\druckshop visitenkarten 2.0.exe
[0] Archivtyp: CAB SFX (self extracting)
--> \Disk1\DATA\cliparts\Allgemein\wmf\013.wmf
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Donnerstag, 4. Februar 2010 22:55
Benötigte Zeit: 1:12:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5463 Verzeichnisse wurden überprüft
319225 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
319224 Dateien ohne Befall
6412 Archive wurden durchsucht
3 Warnungen
1 Hinweise

Sooo und zuguterletzt(hoffnungstirbtzuletzt)..


+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.80.0.1077
+----------------------------------------------------


--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

Ich möchte mich zwischendurch schon mal bedanken das sich jemand die Zeit nimmt.
MfG

Hm, lade dir bitte mbr.exe von GMER auf den Desktop und führe es aus. Auf dem Desktop sollte daraufhin mbr.log erscheinen, poste den Inhalt hier.


Lade außerdem folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste die Links zu den Ergebnissen:

Code: Alles auswählenAufklappen

ATTFilter

D:\ToolsundTreiber\Software\Druckshop Visitkarten 2.0 (Full)\druckshop visitenkarten 2.0.exe
C:\Programme\Suche_Deutschland\tbSuc0.dll
C:\WINDOWS\system32\epmntdrv.sys 
C:\WINDOWS\system32\EuGdiDrv.sys 
         

Hier das log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Rest folgt gleich

Frage zwischendurch: du warst mit deinem normalen Konto angemeldet, als mbr.exe lief? Also kein Konto mit eingeschränkten Rechten?

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.06 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.06 -
BitDefender 7.2 2010.02.06 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3842 2010.02.06 -
DrWeb 5.0.1.12222 2010.02.06 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 File is damaged
F-Secure 9.0.15370.0 2010.02.06 -
Fortinet 4.0.14.0 2010.02.06 -
GData 19 2010.02.06 -
Ikarus T3.1.1.80.0 2010.02.06 -
Jiangmin 13.0.900 2010.02.06 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.06 -
McAfee 5883 2010.02.05 -
McAfee+Artemis 5883 2010.02.05 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.06 -
NOD32 4842 2010.02.06 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.06 -
Prevx 3.0 2010.02.06 -
Rising 22.33.05.04 2010.02.06 -
Sophos 4.50.0 2010.02.06 -
Sunbelt 3.2.1858.2 2010.02.06 -
TheHacker 6.5.1.0.181 2010.02.06 -
TrendMicro 9.120.0.1004 2010.02.06 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 10527178 bytes
MD5...: 0bbd712de7d632066efcdc4aaf3dd2e2
SHA1..: f3c45fcebae77ad45dd062ef2522d6c34527ce35
SHA256: 41086b34572b8b51312d6423a7ab7f224cc1a48f73f9a13a9768f3cbadce16ca
ssdeep: 196608:HWpT6LZ3mDC4g+XPSdY7w8cX4i88poOKXkwlyWkeM5cAUF4B7:2pT6oDC
Cx7Qy8C5FlnWcAUF4B7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xebe0
timedatestamp.....: 0x37b44d57 (Fri Aug 13 16:52:39 1999)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x136e6 0x13800 6.51 401ce81e1b6e703e3daaa46d52656a45
.rdata 0x15000 0x54b 0x600 4.87 e6ce495ce3c83591f577eef6e834fa70
.data 0x16000 0x6e54 0x3400 1.77 02b47dd05d770d1b86ee58024f250c63
.idata 0x1d000 0xf94 0x1000 5.36 5c037a970458e9fea81d2c1c9cd10dbc
.rsrc 0x1e000 0x8efc 0x9000 3.65 30ecbd8e2bfd03bea096f110260c6550

( 7 imports )
> KERNEL32.dll: WriteFile, SetFilePointer, ReadFile, CreateDirectoryA, GetPrivateProfileStringA, SetFileAttributesA, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, GetProcAddress, DeleteFileA, FreeLibrary, GetTempFileNameA, LoadLibraryA, GetTempPathA, GetSystemDirectoryA, GetWindowsDirectoryA, lstrcmpA, IsDBCSLeadByte, LockResource, LoadResource, FormatMessageA, GetLastError, CreateProcessA, WaitForSingleObject, GetStartupInfoA, RemoveDirectoryA, FindNextFileA, ExitProcess, MulDiv, GetSystemDefaultLCID, GetModuleFileNameA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GetPrivateProfileSectionA, GetShortPathNameA, MoveFileExA, lstrcatA, GetFileAttributesA, CreateFileA, GetFileSize, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, Sleep, GetDiskFreeSpaceA, FindFirstFileA, FindClose, lstrcpyA, lstrlenA, FindResourceA, CompareStringA, lstrcpynA, CloseHandle, SetStdHandle, LCMapStringW, LCMapStringA, RtlUnwind, GetFileType, FlushFileBuffers, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, MultiByteToWideChar, GetStringTypeW, GetStringTypeA, WideCharToMultiByte, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetVersion, GetCommandLineA, GetModuleHandleA, HeapFree, HeapAlloc
> USER32.dll: wsprintfA, GetWindowLongA, TranslateMessage, DispatchMessageA, LoadStringA, FindWindowExA, SendMessageA, SetWindowTextA, GetWindowTextA, GetWindow, GetParent, EndDialog, SetDlgItemTextA, SendDlgItemMessageA, CharNextA, IsCharAlphaA, CharNextExA, GetDesktopWindow, GetDlgItemTextA, KillTimer, EnableWindow, SetTimer, PostMessageA, SetFocus, CreateDialogParamA, DestroyWindow, GetDlgItem, GetDC, ReleaseDC, ScreenToClient, SetWindowLongA, CreateWindowExA, GetWindowRect, SystemParametersInfoA, GetClientRect, SetWindowPos, GetSysColor, MessageBeep, GetClassNameA, DialogBoxParamA, MessageBoxA, PeekMessageA, MapWindowPoints
> GDI32.dll: CreateFontIndirectA, TextOutA, SetTextColor, SelectObject, SetBkMode, GetTextExtentPointA, GetDeviceCaps, GetObjectA, DeleteObject
> COMCTL32.dll: -, PropertySheetA
> ADVAPI32.dll: RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> SHELL32.dll: SHBrowseForFolderA, SHGetPathFromIDListA, ShellExecuteA
> LZ32.dll: LZOpenFileA, LZCopy, LZClose

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ 4.x (56.6%)
InstallShield setup (18.1%)
Win32 Executable MS Visual C++ (generic) (15.8%)
Win32 Executable Generic (3.5%)
Win32 Dynamic Link Library (generic) (3.1%)
packers (F-Prot): CAB
sigcheck:
publisher....: MedienTeam66 Verlags GmbH
copyright....: MedienTeam66 - all rights reserved -
product......: DruckShop Visitenkarten
description..: Shareware-Version
original name:
internal name:
file version.: 2.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Das sagt er über die andern Dateien.Ich mache das gerad vieleicht doppelt?


Die Datei wurde bereits analysiert:
MD5: 57cc1bf06c159dfbb989f5783c0e6a50
First received: 2009.02.20 10:01:07 UTC
Datum 2010.01.17 08:30:04 UTC [>20D]
Ergebnisse 0/40

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.06 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.06 -
BitDefender 7.2 2010.02.06 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3842 2010.02.06 -
DrWeb 5.0.1.12222 2010.02.06 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 -
F-Secure 9.0.15370.0 2010.02.06 -
Fortinet 4.0.14.0 2010.02.06 -
GData 19 2010.02.06 -
Ikarus T3.1.1.80.0 2010.02.06 -
Jiangmin 13.0.900 2010.02.06 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.06 -
McAfee 5883 2010.02.05 -
McAfee+Artemis 5883 2010.02.05 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.06 -
NOD32 4842 2010.02.06 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.06 -
Prevx 3.0 2010.02.06 -
Rising 22.33.05.04 2010.02.06 -
Sophos 4.50.0 2010.02.06 -
Sunbelt 3.2.1858.2 2010.02.06 -
TheHacker 6.5.1.0.181 2010.02.06 -
TrendMicro 9.120.0.1004 2010.02.06 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 8704 bytes
MD5...: 57cc1bf06c159dfbb989f5783c0e6a50
SHA1..: fd25ae2f3e51b08816b5c3af712a36014be28078
SHA256: 6b878122d2533a3e162bcaf119d0d38ffe20183220a7b7639c3560c5db57a943
ssdeep: 96:GrbxkRoTRo9LtLcRlac3ff7RK00q3RX4/r0K9RDfTYjDZf0R2Ztq8KSNLcxLi
oFZJgR9fN2qBIf9pYf0mtq81NL
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d05
timedatestamp.....: 0x4897e6b0 (Tue Aug 05 05:35:44 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x15ce 0x1600 6.26 68c84af2632118f2fd70196641c7b92a
.rdata 0x1a80 0x1d5 0x200 4.74 a088f3513b68ed63036d47e4eae5b847
.data 0x1c80 0x60 0x80 1.27 e27918cd4bc6289095f759fcf3c65f72
INIT 0x1d00 0x352 0x380 5.20 6a966a3c841ac34cf9732bfe06224601
.reloc 0x2080 0x15e 0x180 4.14 3b178276205d421cad26b943ca2a438d

( 1 imports )
> ntoskrnl.exe: DbgPrint, IoDeleteDevice, IoDeleteSymbolicLink, ObfReferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, memset, IoFreeIrp, KeSetEvent, IoFreeMdl, MmUnlockPages, ExFreePoolWithTag, KeWaitForSingleObject, IofCallDriver, KeInitializeEvent, IoBuildAsynchronousFsdRequest, IofCompleteRequest, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, RtlUnicodeStringToInteger, ExAllocatePoolWithTag, memcpy, IoBuildDeviceIoControlRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, RtlAnsiCharToUnicodeChar

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win16/32 Executable Delphi generic (25.4%)
Clipper DOS Executable (24.8%)
Generic Win/DOS Executable (24.6%)
DOS Executable Generic (24.6%)
VXD Driver (0.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.06 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.06 -
BitDefender 7.2 2010.02.06 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3842 2010.02.06 -
DrWeb 5.0.1.12222 2010.02.06 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 -
F-Secure 9.0.15370.0 2010.02.06 -
Fortinet 4.0.14.0 2010.02.06 -
GData 19 2010.02.06 -
Ikarus T3.1.1.80.0 2010.02.06 -
Jiangmin 13.0.900 2010.02.06 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.06 -
McAfee 5883 2010.02.05 -
McAfee+Artemis 5883 2010.02.05 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.06 -
NOD32 4842 2010.02.06 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.06 -
Rising 22.33.05.04 2010.02.06 -
Sophos 4.50.0 2010.02.06 -
Sunbelt 3.2.1858.2 2010.02.06 -
TheHacker 6.5.1.0.181 2010.02.06 -
TrendMicro 9.120.0.1004 2010.02.06 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 2166296 bytes
MD5...: 37810b173024d75560d08b5206893a02
SHA1..: dd890976442c9515101eddfcf8b7e10f6774ecf8
SHA256: e0fadca8cb66f2196b7e089fcf3ad1b15c1929353d35caad5a11f17254aa64a3
ssdeep: 49152:lN54eaeEEJx9JcdJIZTpbjtt5IlGc0UYLsXe92683EmCW0zVQPs+:lt8Au
ETZlIlGc0UYLsXe921/5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x101200
timedatestamp.....: 0x4ac4d8d0 (Thu Oct 01 16:29:04 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12f1b0 0x12f200 6.60 d6d1d61603fe6bbb81c152f8e44186b5
.rdata 0x131000 0x66f87 0x67000 4.56 a7cf4877bbb964312211f5d05f4027e6
.data 0x198000 0x7ca4 0x5a00 4.97 d932ff064966a580a4f7fe14cb80ecc5
.rsrc 0x1a0000 0x597a8 0x59800 5.93 f196d2fbd90835baad6b846435abc7cf
.reloc 0x1fa000 0x1a880 0x1aa00 5.92 4ed02dd67786680e3f8aa43d6321a4ad

( 20 imports )
> COMCTL32.dll: _TrackMouseEvent, -, InitCommonControlsEx, CreateToolbarEx, PropertySheetW, CreatePropertySheetPageW, ImageList_ReplaceIcon, ImageList_Create
> WININET.dll: DeleteUrlCacheEntry, FindNextUrlCacheEntryA, FindFirstUrlCacheEntryA, InternetCanonicalizeUrlW, InternetCrackUrlW, InternetCloseHandle, InternetOpenW, InternetSetOptionW, InternetOpenUrlW, InternetGetConnectedState, InternetCanonicalizeUrlA, HttpOpenRequestA, InternetQueryOptionA, FindCloseUrlCache, InternetConnectA, InternetReadFile, InternetGetLastResponseInfoA, HttpSendRequestA, HttpQueryInfoA, InternetOpenA, InternetCrackUrlA, InternetSetOptionA, GetUrlCacheEntryInfoW, InternetSetOptionExA
> SHLWAPI.dll: SHDeleteKeyA, PathFileExistsA, PathFileExistsW
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
> MSIMG32.dll: GradientFill
> RPCRT4.dll: UuidToStringW
> urlmon.dll: ObtainUserAgentString, URLDownloadToFileW
> CRYPT32.dll: CryptProtectData, CryptMsgClose, CertCloseStore, CertFreeCertificateContext, CryptUnprotectData, CertGetNameStringA, CertFindCertificateInStore, CryptQueryObject, CryptMsgGetParam, CertGetNameStringW
> WINMM.dll: PlaySoundW, PlaySoundA, timeGetTime, sndPlaySoundW
> PSAPI.DLL: EnumProcesses, GetModuleFileNameExW, EnumProcessModules, GetModuleBaseNameW, GetProcessMemoryInfo
> KERNEL32.dll: GlobalUnlock, LoadLibraryA, MulDiv, ReadFile, GlobalLock, GlobalAlloc, GetFileSize, CreateFileW, SizeofResource, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetFileTime, RemoveDirectoryW, GetSystemTimeAsFileTime, GetComputerNameW, OutputDebugStringW, HeapFree, GetProcessHeap, LocalAlloc, OpenProcess, Thread32Next, Thread32First, CreateToolhelp32Snapshot, TerminateProcess, SetThreadPriority, GetCurrentThread, SetEvent, ResetEvent, CreateSemaphoreW, ReleaseSemaphore, CreateFileMappingW, OpenFileMappingW, GlobalFree, MapViewOfFile, WaitForMultipleObjects, GetACP, GetCPInfo, GetStdHandle, WriteFile, ExitProcess, VirtualAlloc, VirtualFree, HeapDestroy, HeapCreate, InterlockedIncrement, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, MoveFileW, GetCommandLineA, ResumeThread, ExitThread, RaiseException, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, HeapReAlloc, HeapAlloc, RtlUnwind, MultiByteToWideChar, OpenMutexW, GetCurrentProcess, FlushInstructionCache, VirtualProtect, Sleep, ExpandEnvironmentStringsW, CreateProcessW, GetLocaleInfoW, CreateMutexW, Beep, GetLocalTime, SetEndOfFile, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, UnmapViewOfFile, GetLocaleInfoA, GetDateFormatW, GetTimeFormatW, FindResourceW, LoadResource, LockResource, FreeResource, GetFileAttributesW, SetLastError, CreateThread, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CopyFileW, lstrcpyW, lstrcpyA, GetCurrentThreadId, LocalFree, GetLongPathNameW, GetShortPathNameW, GetModuleHandleW, GetTickCount, GetVersionExA, LoadLibraryW, FreeLibrary, WideCharToMultiByte, GetModuleFileNameA, MoveFileExW, DeleteFileA, lstrlenW, CreateEventW, WaitForSingleObject, GetModuleFileNameW, GetModuleHandleA, GetProcAddress, GetLastError, InterlockedDecrement, ReleaseMutex, CloseHandle, GetCurrentProcessId, GetOEMCP, IsValidCodePage, LCMapStringW, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetStringTypeA, GetStringTypeW, LCMapStringA, InterlockedExchange, GetConsoleCP, InitializeCriticalSectionAndSpinCount, GetConsoleMode, FlushFileBuffers, SetFilePointer
> USER32.dll: GetWindowRgn, MessageBeep, GetActiveWindow, IsDialogMessageA, IsDialogMessageW, MessageBoxA, DialogBoxParamW, DialogBoxParamA, CreateDialogParamA, CreateDialogParamW, SetRectEmpty, GetKeyState, GetDlgItemTextA, FrameRect, DrawFrameControl, DrawEdge, AllowSetForegroundWindow, PostThreadMessageA, GetDlgItemTextW, GetScrollInfo, GetMenuItemRect, InsertMenuItemA, InsertMenuItemW, IsMenu, GetMenuInfo, SetMenuInfo, GetMenuItemID, GetMenuState, SetMenuItemInfoW, CheckMenuItem, EnableMenuItem, DeleteMenu, TrackPopupMenu, PostMessageW, GetMonitorInfoW, GetMenuItemCount, GetMenuItemInfoW, CreatePopupMenu, DestroyMenu, SetClassLongA, SetLayeredWindowAttributes, SetForegroundWindow, GetDesktopWindow, EnableWindow, IsDlgButtonChecked, CheckDlgButton, SetActiveWindow, GetMessageA, ReleaseCapture, GetCapture, DispatchMessageW, DispatchMessageA, SetCapture, GetCursorPos, GetUpdateRect, MonitorFromRect, GetMonitorInfoA, BeginPaint, EndPaint, ScreenToClient, SetWindowRgn, SetRect, OffsetRect, DrawIconEx, GetIconInfo, DestroyIcon, GetSystemMetrics, FillRect, GetSysColor, PeekMessageA, MessageBoxW, SetWindowPos, DefWindowProcW, SystemParametersInfoW, LoadImageW, IsIconic, GetLastInputInfo, CharUpperW, DrawFocusRect, InflateRect, GetWindow, UpdateWindow, GetClassInfoExW, RegisterClassExW, CharLowerBuffA, GetAsyncKeyState, SendMessageW, GetWindowTextLengthW, EndDialog, GetWindowTextW, FindWindowW, GetMenuItemInfoA, IsWindowVisible, SetWindowsHookExA, UnhookWindowsHookEx, CallNextHookEx, GetClassInfoW, RegisterClassW, CreateWindowExW, UnregisterClassA, GetClassNameW, DefWindowProcA, DestroyWindow, GetWindowLongA, SetWindowLongA, GetFocus, TranslateMessage, SetDlgItemTextW, wsprintfW, SetWindowTextA, SetWindowTextW, GetClientRect, GetDlgCtrlID, CallWindowProcA, InvalidateRect, IsWindow, GetDlgItem, SendMessageA, ClientToScreen, GetParent, GetWindowLongW, CopyRect, SetCursor, LoadCursorA, PostMessageA, ShowWindow, SetWindowLongW, ReleaseDC, MoveWindow, DrawTextW, GetDC, GetWindowRect, RegisterWindowMessageW, GetWindowThreadProcessId, IsChild, SetFocus, SetTimer, KillTimer, PtInRect, IsWindowUnicode, CallWindowProcW, FindWindowExW, MsgWaitForMultipleObjects
> GDI32.dll: GetBkColor, GetTextColor, SetLayout, PlgBlt, SelectPalette, RealizePalette, GetDeviceCaps, SetRectRgn, OffsetRgn, FrameRgn, SetTextAlign, TextOutW, ExcludeClipRect, RoundRect, GetBkMode, GetPixel, CreateCompatibleBitmap, BitBlt, CreateRectRgn, Polygon, GdiFlush, SetPixel, GetObjectA, GetTextAlign, GetTextExtentPoint32W, GetLayout, Rectangle, SetBkColor, CreateCompatibleDC, DeleteDC, CreateSolidBrush, CreateFontIndirectW, CombineRgn, CreatePen, SelectObject, MoveToEx, LineTo, DeleteObject, GetWindowOrgEx, SetWindowOrgEx, SetBkMode, SetTextColor, PtInRegion, GetStockObject
> COMDLG32.dll: GetOpenFileNameW
> ADVAPI32.dll: RegEnumKeyW, ConvertStringSecurityDescriptorToSecurityDescriptorA, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, RegCreateKeyExA, InitializeSecurityDescriptor, RegDeleteKeyA, RegCloseKey, RegOpenKeyExA, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, RegSetValueExA, GetSidSubAuthority, GetSidSubAuthorityCount, RegNotifyChangeKeyValue, CryptAcquireContextA, CryptReleaseContext, RegEnumValueW, RegEnumKeyExW, RegDeleteValueW, RegOpenKeyW, GetTokenInformation, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, OpenProcessToken, GetSecurityDescriptorSacl
> SHELL32.dll: ShellExecuteW, SHGetFolderPathW, ShellExecuteExW, SHCreateDirectoryExW
> ole32.dll: CreateStreamOnHGlobal, CoCreateInstance, CLSIDFromString, CoUninitialize, CoCreateGuid, StringFromGUID2, StringFromIID, CoInitialize, CoGetMalloc, IIDFromString
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> DNSAPI.dll: DnsQuery_A

( 14 exports )
DllCanUnloadNow, DllConnectToIE, DllConnectionProc, DllGetClassObject, DllGetInstallFileNameExt, DllOnUninstall, DllOnUpdateFinish, DllOpenUninstallPage, DllRegisterServer, DllShowTB, DllShowToolbar, DllShowToolbarWithIE, DllUnregisterServer, DllUpdate
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Windows OCX File (56.9%)
InstallShield setup (19.8%)
Win32 Executable MS Visual C++ (generic) (17.3%)
Win32 Executable Generic (3.9%)
Generic Win/DOS Executable (0.9%)
sigcheck:
publisher....: Conduit Ltd.
copyright....: Copyright (c) Conduit Ltd. 2008
product......: Conduit Toolbar
description..: Conduit Toolbar
original name: n/a
internal name: Conduit Toolbar
file version.: 5, 2, 3, 1
comments.....: Conduit Toolbar ver 1.0
signers......: Conduit Ltd.
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 4:46 PM 2/6/2010
verified.....: -

So, ich hoffe ich habe nichts vergessen.

Zitat:

Zitat von totem

So, ich hoffe ich habe nichts vergessen.

Zitat:

Zitat von Kos

Frage zwischendurch: du warst mit deinem normalen Konto angemeldet, als mbr.exe lief? Also kein Konto mit eingeschränkten Rechten?

Also wenn es ein normales Konto war, dann mache jetzt bitte folgendes:

Schnapp dir deine Windows XP CD, und boote von dieser CD neu. Also wenn du die CD einlegst und neu startest, wirst du normalerweise beim Hochfahren gefragt, ob von der CD gestartet werden soll.

Wähle im Auswahlmenü nach dem Hochfahren R, um in die Systemwiederherstellungskonsole zu kommen. Melde dich an: normalerweise "1 Windows", also 1 drücken und Enter. Falls eine Passwortabfrage kommt, aber eigentlich kein Passwort verwendet wird, einfach Enter drücken.

Gebe nun fixmbr ein, und drücke Enter. Es kommt ein Hinweistext, j eingeben. MBR wird neu geschrieben. Es sollte eine Meldung kommen "... wurde einwandfrei geschrieben" oder so ähnlich.

Gebe nun exit ein. Der Rechner wird neu gestartet, die CD wieder rausnehmen und Windows normal starten lassen. Mache dann bitte einen erneuten Vollscan mit Malwarebytes, Update nicht vergessen.