Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden

janis-h · 25.12.2010, 10:05

bei der abarbeitung von CCleaner, soll ich dieses dann auch runterladen (sorry für die blöde frage, mag aber nix falsches machen)
merci, lg

janis-h · 25.12.2010, 11:50

ok, habs alles nach anleitung durchgeführt.(Ccleaner)

janis-h · 25.12.2010, 13:05

hier der Cf log... hoffe s passt.

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-24.01 - Gastkonto 25.12.2010  12:24:39.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Gastkonto\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\cock
c:\windows\system32\sys
c:\windows\system32\UAs
c:\windows\system32\UAs\IEXPLORE.EXE_UAs001.dat
c:\windows\system32\UAs\IEXPLORE.EXE_UAs002.dat

c:\windows\system32\winlogon.exe . . . ist infiziert!!

c:\windows\explorer.exe . . . ist infiziert!!

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-11-25 bis 2010-12-25  ))))))))))))))))))))))))))))))
.

2010-12-25 09:54 . 2010-12-25 09:54	--------	d-----w-	c:\programme\CCleaner
2010-12-24 10:00 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-24 10:00 . 2010-12-24 10:00	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-24 10:00 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-15 13:57 . 2010-12-15 13:57	--------	d-----w-	c:\programme\Absurd Terminator
2010-12-15 12:51 . 2010-12-25 00:48	3584	----a-w-	c:\windows\system32\kb.dll
2010-12-13 15:48 . 2010-12-13 15:48	--------	d-----w-	c:\windows\system32\5008
2010-12-13 15:48 . 2010-12-13 15:48	112	----a-w-	c:\windows\system32\srvblck2.tmp
2010-12-04 10:08 . 2010-12-04 10:08	--------	d-----w-	c:\programme\NCH Software
2010-12-04 10:07 . 2010-12-04 10:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2010-12-04 10:06 . 2010-12-04 10:06	--------	d-----w-	c:\programme\NCH Swift Sound
2010-12-04 10:06 . 2010-12-04 10:06	--------	d-----w-	c:\dokumente und einstellungen\Gastkonto\Anwendungsdaten\NCH Swift Sound
2010-12-01 18:41 . 2010-12-01 19:09	--------	d-----w-	c:\programme\PantsOff
2010-11-30 20:38 . 2010-11-30 20:47	--------	d-----w-	c:\programme\LittleFighter2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-07-01 16:09 . 2009-07-01 16:09	60518	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2009-07-01 16:09 . 2009-07-01 16:09	49248	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2009-07-01 16:09 . 2009-07-01 16:09	165992	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
[-] 2006-06-01 . 8F4FB94BC1F50D47186745BD6A804D6A . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
[-] 2006-06-01 . D0D1806200BD0CAC9AA134AC2128E80D . 1035264 . . [6.00.2900.2180] . . c:\windows\explorer.exe

.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"Google Update"="c:\dokumente und einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-07-21 133104]
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" [2010-10-27 133432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-18 8466432]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]
"OSD"="c:\programme\C&E\OSD\osd.exe" [2007-09-20 561152]
"nwiz"="nwiz.exe" [2007-07-18 1626112]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-04-16 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-04-16 970752]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-06-01 110592]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-26 148888]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"Realtime Audio Engine"="mmrtkrnl.exe" [2009-11-23 70144]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-06-01 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-2-27 2756608]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\Gastkonto\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Programme\\Steam\\steamapps\\janhilli\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Steam\\steam.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Electronic Arts\\Need for Speed Carbon\\NFSC.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\UltraMixer\\jre\\launch4j-tmp\\UltraMixer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 11:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.07.2009 18:18 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [10.07.2009 14:25 246520]
R3 CEBFilter;CEBFilter;c:\programme\C&E\OSD\OsdService\cebuffer.sys [04.09.2007 15:20 5120]
R3 CEIO;CEIO;c:\programme\C&E\OSD\OsdService\ceio.sys [31.08.2007 15:18 4608]
R3 cKBFilter;cKBFilter;c:\programme\C&E\OSD\OsdService\kbfiltr.sys [31.08.2007 13:22 7168]
R3 ITECIR;ITE EC CIR Driver (PMC);c:\windows\system32\drivers\ITECIR.sys [09.07.2009 18:07 7936]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.03.2010 20:43 136176]
S2 OsdService;OsdService;c:\programme\C&E\OSD\OsdService\OsdService.exe [03.09.2007 16:01 53248]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Inhalt des "geplante Tasks" Ordners

2010-12-24 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]

2010-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-12-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-17 19:43]

2010-12-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-17 19:43]

2010-12-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1003Core.job
- c:\dokumente und einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-07-21 11:55]

2010-12-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1003UA.job
- c:\dokumente und einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-07-21 11:55]

2010-12-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1004Core.job
- c:\dokumente und einstellungen\familie\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-08-17 14:07]

2010-12-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1004UA.job
- c:\dokumente und einstellungen\familie\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-08-17 14:07]

2010-12-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-07-10 19:47]

2010-12-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-500UA.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-07-10 19:47]

2010-12-04 c:\windows\Tasks\switchShakeIcon.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-12-04 10:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = hxxp://www.youtube.com/watch?v=XJi-x-T4j88
uInternet Settings,ProxyOverride = *.local
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\dokumente und einstellungen\Gastkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\m8peq3w9.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{ED0CF0C8-62F1-4865-A3FD-2E2A2B50FAFA} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-25 12:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\sfc_os.dll

- - - - - - - > 'explorer.exe'(1736)
c:\programme\iTunes\iTunesMiniPlayer.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\de.lproj\iTunesMiniPlayerLocalized.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\mmrtkrnl.exe
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~3\rapimgr.exe
c:\windows\system32\wscntfy.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-25  12:56:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-25 11:56

Vor Suchlauf: 7 Verzeichnis(se), 358.476.005.376 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 361.000.083.456 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 7E1B676D1906D58EBE90D1921426B11C

--- --- ---

cosinus · 25.12.2010, 17:35

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

janis-h · 25.12.2010, 19:27

Das GMER hat nicht geklappt...

hier OSAM:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 19:28:17 on 25.12.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Google Inc. Google Chrome 0.0.0.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1003Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1003UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1004Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\familie\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1004UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\familie\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-500Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-500UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
"switchShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\Switch\switch.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"LocalCOM.cpl" - "TOSHIBA CORPORATION" - C:\WINDOWS\system32\LocalCOM.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"CEBFilter" (CEBFilter) - "Windows (R) Codename Longhorn DDK provider" - C:\Programme\C&E\OSD\OsdService\cebuffer.sys
"CEIO" (CEIO) - "Windows (R) Codename Longhorn DDK provider" - C:\Programme\C&E\OSD\OsdService\ceio.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"cKBFilter" (cKBFilter) - "Windows (R) Codename Longhorn DDK provider" - C:\Programme\C&E\OSD\OsdService\kbfiltr.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"ITE EC CIR Driver (PMC)" (ITECIR) - "ITE Tech. Inc." - C:\WINDOWS\System32\DRIVERS\ITECIR.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Realtek 8169 NT Driver" (RTL8169) - "Realtek Corporation                                            " - C:\WINDOWS\System32\DRIVERS\Rtlh86.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WebCam" (Cam5603D) - ? - C:\WINDOWS\System32\Drivers\BisonCam.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Wcesview.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} "TuneUp Shredder Shell Context Menu Extension" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_14" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_14.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab
{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} "Java Plug-in 1.6.0_14" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_14.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_14" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_14.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\INetRepl.dll
"ICQ7" - "ICQ, LLC." - C:\Programme\ICQ7.0\ICQ.exe
"PokerStars.net" - "PokerStars" - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Bluetooth Manager.lnk" - "TOSHIBA CORPORATION." - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Gastkonto\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"Google Update" - "Google Inc." - "C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Shell" - "Microsoft Corporation" - C:\WINDOWS\Explorer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
"IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
" Malwarebytes Anti-Malware  (reboot)" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"OSD" - "C&E" - C:\Programme\C&E\OSD\osd.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"Realtime Audio Engine" - "AlcaTech" - "mmrtkrnl.exe" /i
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Toshiba Bluetooth Monitor" - "TOSHIBA CORPORATION." - C:\WINDOWS\system32\tbtmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe Active File Monitor V7" (AdobeActiveFileMonitor7.0) - "Adobe Systems Incorporated" - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\WINDOWS\system32\GameMon.des
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"OsdService" (OsdService) - ? - C:\Programme\C&E\OSD\OsdService\OsdService.exe
"TOSHIBA Bluetooth Service" (TOSHIBA Bluetooth Service) - "TOSHIBA CORPORATION" - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
"TuneUp WinStyler Theme Service" (TUWinStylerThemeSvc) - "TuneUp Software GmbH" - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit Online Solutions :: Index

janis-h · 25.12.2010, 19:31

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 129):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEB000 fltMgr.sys
0xB9ED9000 sr.sys
0xBA118000 PxHelp20.sys
0xB9EC2000 KSecDD.sys
0xB9E35000 Ntfs.sys
0xB9E08000 NDIS.sys
0xB9DED000 Mup.sys
0xBA158000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xBA588000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB8A5C000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB8A48000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA420000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB8A25000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA428000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB8A00000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB87E5000 \SystemRoot\system32\DRIVERS\NETw4x32.sys
0xB87CD000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xBA168000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBA5F8000 \SystemRoot\system32\DRIVERS\ITECIR.sys
0xBA430000 \SystemRoot\system32\DRIVERS\generic.sys
0xBA178000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA438000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA440000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA188000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA198000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB87AA000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA448000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB9172000 \SystemRoot\System32\Drivers\tosrfcom.sys
0xBA7B6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA5FA000 \SystemRoot\System32\Drivers\RootMdm.sys
0xBA450000 \SystemRoot\System32\Drivers\Modem.SYS
0xB9162000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA590000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB8793000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB9152000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB9142000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA458000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB8782000 \SystemRoot\system32\DRIVERS\psched.sys
0xB9132000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA460000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA468000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB8751000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB9122000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5FC000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB871D000 \SystemRoot\system32\DRIVERS\update.sys
0xB9DC5000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB9112000 \SystemRoot\system32\DRIVERS\tosporte.sys
0xB9102000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB98C5000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB90F2000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5FE000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB7324000 \SystemRoot\system32\DRIVERS\smserial.sys
0xB6EC5000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB6EA3000 \SystemRoot\system32\drivers\portcls.sys
0xB90E2000 \SystemRoot\system32\drivers\drmk.sys
0xBA606000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA6F6000 \SystemRoot\System32\Drivers\Null.SYS
0xBA608000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA498000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA4A0000 \SystemRoot\System32\drivers\vga.sys
0xBA60C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA60E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA4A8000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA4B0000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA574000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB6E20000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB6DC8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB6DA0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB6D7F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB6D5D000 \SystemRoot\System32\drivers\afd.sys
0xBA1B8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA1C8000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA340000 \SystemRoot\System32\Drivers\StarOpen.SYS
0xBA360000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB6D32000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xBA1D8000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB6CC3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA1E8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB6CA7000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA616000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xBA238000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB6C67000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA62A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB6E83000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA388000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA7B2000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB4773000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xBA3C0000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xB47A7000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB47A3000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xB4516000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB4267000 \SystemRoot\system32\DRIVERS\srv.sys
0xB3E1A000 \SystemRoot\system32\drivers\wdmaud.sys
0xB3F47000 \SystemRoot\system32\drivers\sysaudio.sys
0xBA3A8000 \??\C:\Programme\C&E\OSD\OsdService\cebuffer.sys
0xB3027000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA3D0000 \??\C:\Programme\C&E\OSD\OsdService\kbfiltr.sys
0xBA490000 \??\C:\Programme\C&E\OSD\OsdService\ceio.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 57):
0 System Idle Process
4 System
828 C:\WINDOWS\system32\smss.exe
880 csrss.exe
908 C:\WINDOWS\system32\winlogon.exe
968 C:\WINDOWS\system32\services.exe
980 C:\WINDOWS\system32\lsass.exe
1164 C:\WINDOWS\system32\svchost.exe
1232 svchost.exe
1272 C:\WINDOWS\system32\svchost.exe
1312 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
1424 svchost.exe
1476 svchost.exe
1804 C:\WINDOWS\system32\spoolsv.exe
1848 C:\Programme\Avira\AntiVir Desktop\sched.exe
1920 svchost.exe
560 C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
596 C:\Programme\Avira\AntiVir Desktop\avguard.exe
608 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
632 C:\Programme\Bonjour\mDNSResponder.exe
672 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
812 C:\Programme\ICQ6Toolbar\ICQ Service.exe
1100 C:\Programme\Java\jre6\bin\jqs.exe
1304 C:\WINDOWS\system32\nvsvc32.exe
1392 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
1532 C:\WINDOWS\system32\svchost.exe
1576 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
2072 C:\WINDOWS\explorer.exe
2384 C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
2392 C:\WINDOWS\RTHDCPL.exe
2400 C:\Programme\C&E\OSD\osd.exe
2432 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
2440 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
2456 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2472 C:\Programme\Java\jre6\bin\jusched.exe
2540 C:\Programme\iTunes\iTunesHelper.exe
2560 C:\WINDOWS\system32\mmrtkrnl.exe
2736 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2940 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
3064 C:\Programme\Microsoft ActiveSync\wcescomm.exe
3128 C:\PROGRA~1\MICROS~3\rapimgr.exe
3220 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
4052 C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
124 alg.exe
2064 C:\Programme\iPod\bin\iPodService.exe
2164 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
2144 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
2564 C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
3604 C:\WINDOWS\system32\wuauclt.exe
648 C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3316 C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3788 C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3648 C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3876 C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3960 C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
1464 C:\Programme\Java\jre6\bin\jucheck.exe
3536 C:\Dokumente und Einstellungen\Gastkonto\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMJA2400BHG2, Rev: 00000018

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 26.12.2010, 18:54

Ich hab Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - janish.zip
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\janish)

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
3. Brenn das ISO-Image per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
4. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

5. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
6. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
7. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code:

ATTFilter

/windows/system32/winlogon.exe.vir
/windows/explorer.exe.vir

8. Kopiere die sauberen Dateien aus dem janish-Ordner in die entsprechenden Pfade rein:

Code:

ATTFilter

/janish/winlogon.exe => /windows/system32/winlogon.exe
/janish/explorer.exe => /windows/explorer.exe

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)

9. Starte den Rechner neu und boote Windows
10. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
11. Wenn alles geschafft ist Beischeid geben

janis-h · 29.12.2010, 18:35

Ok, hört sich nach viel arbeit an, muss aber ja leider sein !

ich hätte noch ein paar fragen, und zwar was der virus anrichtet, kann ich weiterhin online banking sachen und kennwörter eingeben, oder ist dies nicht zu empfehlen?

danke, lg

cosinus · 29.12.2010, 20:15

Online-Banking macht man selbstverständlich nur auf einem sicheren System und auf keinen Fall, dass noch infiziert ist! Wenn du sicheres Banking machen willst, dafür gibt es extra eine eigene Linux-Distro, nennt sich Bankix, geht aber eigentlich auch- evtl. mit Einschränkungen - unter jedem anderen Linux-System, sofern es nur browserbasiert ist.

janis-h · 07.01.2011, 12:07

Hallo, also habe mich jetzt dafür entschieden, meinen Laptop einfach ganz zu formatieren, sorry das ich dir so viel Arbeit gemacht habe, aber dann doch nix rausgekommen ist.

trotzdem Großen Dank....

lg Janis

cosinus · 07.01.2011, 13:33

Ist ja nicht schlimm und erst recht nicht falsch, nur gilt der Tipp mit sicherem Banking unter Bankix/Linux weiterhin

janis-h · 07.01.2011, 14:17

hö, wieso, gehn die viren nicth weg oder wie meinst ?

cosinus · 07.01.2011, 15:11

Zitat:

hö, wieso, gehn die viren nicth weg oder wie meinst ?

Überleg mal: Eine CD ist read-only, kann also nicht verändert werden. Du hast folglich bei jedem Start von Bankix von dieser schreibgeschützten CD garantiert ein nicht manipuliertes Betriebssystem.
Zudem ist dieses OS auf Basis von Linux, da funktionieren keine Windows-Viren :rollyes:

janis-h · 11.01.2011, 15:32

hi, also system ist nun formatiert... welches antvirenprogramm (for free) würdest du mir empfehlen?
bin mir nicht sicher....

lg und danke

cosinus · 11.01.2011, 18:52

So pauschal einfach ohne irgendwas, ohne die Einhaltung gewisser Regeln bringt kein Virenscanner was. Allein ein Virenscanner hilft nicht zuverlässig vor Schädlingen.

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Dann erst kann man sich Gedanken um einen Virenscanner machen, der ist nämlich weitaus weniger wichtig als o.g. Regeln/Maßnahmen. Schau dir mal http://www.microsoft.com/security_essentials/ an. Ist klein, hat gute Erkennungsraten, nervt nicht und kostenlos.

07.01.2011, 13:33	#41
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden - Standard$ Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden Ist ja nicht schlimm und erst recht nicht falsch, nur gilt der Tipp mit sicherem Banking unter Bankix/Linux weiterhin __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden