Hallo Zusammen,

ich habe hier den PC eines Verwandten stehen, der leider ein ziemlicher DAU ist (was er auch weiß)
Darum hat er mich drum gebeten, dass hier für ihn zu übernehmen.

Also fangen wir mal an:

Er hatte vor einiger Zeit einen Online Scan mit Micro Trend Housecall gemacht. Dabei wurde auch "irgendwas" gefunden. Sorry, mehr konnte er mir auch nicht dazu sagen. Ich hab jedenfalls mal ein HJT-Logfile erstellt und darin einen sehr eigenartigen Eintrag gefunden:

O23 - Service: AZFPJND - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\AZFPJND.exe (file missing)

Die Datei selber ist selbstverständlich nicht mehr da um sie genauer zu untersuchen. Google sagt zu der Datei auch nix. Ich bin zwar kein Profi, vermute aber einen Backdoor-Trojaner oder ein Rootkit oder ähliches. Mein Verwandter möchte aber ein Neuaufsetzen des Systems möglichst vermeiden.
Vielleicht hat ja hier jemand eine Idee, wie man herausbekommt was genau das ist und was dagegen tun kann. Wenn ein Neuaufsetzen unvermeidbar ist, dann ist es halt so, ich hab jedenfalls den Auftrag bekommen "mal zu gucken, ob sich das irgendwie vermeiden lässt"


So, es folgt das komplette HJT-Logfile:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:25, on 15.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169746994021
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AZFPJND - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\AZFPJND.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5385 bytes




Und hier noch der Scanbericht von Anti-Malware:



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3989

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.04.2010 13:56:41
mbam-log-2010-04-15 (13-56-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120606
Laufzeit: 5 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Vielleicht kann ja jemand etwas daraus erkennen oder hat weiterführende Ratschläge.

P.S.: Der PC zeigt sonst keine Auffälligkeiten

Hi,

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
(Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit)

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: AZFPJND - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\AZFPJND.exe (file missing)
         

Nach dem Fixen ein OTL-Log:

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt

• Poste die Logfiles hier in den Thread

und dann noch:

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

GMER ist grad am scannen. So wie es aussieht, dauert das aber noch eine Weile.

Bei OTL kann ich rechts irgendwie abgeben ob ich alle Dateien scannen will oder nur kürzlich veränderte, wobei ich dann auch noch das Zeitfenster angeben kann. Was soll ich da auswählen? Hab erstmal alle scannen lassen, der Report ist da aber extrem lang geworden. Da der Schädling ja aber eventuell schon länger da ist, hielt ich das für besser? Was meint der Profi dazu?

Hallo,

einfach die Logs hochladen...
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

ok mach ich so.
Ich warte aber noch bis GMER fertig ist, man soll ja während des Scans nichts machen. Sobald GMER fertig ist, schick ich Dir die Links und poste hier den Scanbericht von GMER.

ich weiß nicht ob das irgendwie von Relevanz ist, drum poste ich das eben Geschehene sicherheitshalber mal.

Hab grad das zweite Mal mit GMER gescannt (Das erste Mal hatte sich das System aufgehangen).

Mitten im Scan gab es dann plötzlich einen Bluescreen. Als mögliche Ursache für den Fehler wurde die Datei "fwxyypow.sys" genannt. Hab mal nach der Datei gegoogelt, aber nicht gefunden. Hab die Datei auf dem PC suchen lassen (inkl. Anzeigen versteckter Dateien und Systemdateien) aber nichts finden können.

Jetzt läuft der dritte Scan, mal schauen ob es diesmal klappt *seufz*

Hi,

kein gutes Zeichen, da hat sich das Rootkit und GMER in den Haaren gelegen...
Kann aber auch GMER selber sein, der vergibt ebenfalls wie so manches Rootkit "zufällige" Dateinamen...
Wenn es nicht klappt, in den abgesicherten Modus booten (F8 beim Booten) und dort GMER laufen lassen...

OTL schaue ich mir gleich an...

So, habe das nötigste der 7MB überflogen... Here are the results:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (AZFPJND) --  File not found

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

GMER wäre wegen Rootkit nicht schlecht...

chris

so, nach unzähligen Stunden ist nun auch der dritte Scan wieder schief gegangen. Es hat irgendwann unten (da wo angezeigt wird, welche Datei grad gescannt wird) nichts mehr angezeigt. Ich bin dann davon ausgegangen, dass er fertig ist mit scannen. Irgendeine Meldung kam aber nicht. Bin dann auf "Copy" gegangen und wollte anschließend über das Startmenu das Notepad öffnen um den Bericht da reinzukopieren und zu speichern. Aber das ging gar nicht mehr. CPU-Auslastung war bei 100%. Hab dann versucht ein paar Prozesse zu killen, aber die CPU-Auslastung blieb bei 100%. Kann jetzt höchstens morgen nochmal versuchen, das ganze im abgesicherten Modus zu probieren. Es scheint ja fast so, als wöllte da irgendwas wirklich nicht gefunden werden

sooooo...aller guten Dinge sind offenbar doch nicht 3 sondern 4. Beim vierten Versuch hat der GMER-Scan offenbar geklappt. Wie vereinbart hab ichs nochmal im abgesichterten Modus probiert, diesmal gab es keinen Absturz. Der Scan lief auch bedeutend schneller. Es kam aber auch diesmal keine Meldung a la "Der Scan wurde erfolgreich beendet" oder dergleichen, sondern er hatte einfach aufgehört zu scannen. Ist das normal so? Außerdem war diese Liste die GMER während des Scannens im Hauptfenster erstellt auch viiiiel kürzer. Ist vermutlich im abgesicherten Modus aber normal, da ja weniger Treiber geladen werden oder seh ich das falsch?

Hier erstmal das Log:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-04-16 11:14:30
Windows 5.1.2600 Service Pack 3
Running: xs2nummn.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fwxyypow.sys


---- Kernel code sections - GMER 1.0.15 ----

.sfrelocÿÿÿÿsfsync04unknown last section [0xF7425000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xF7425000, 0xBC6, 0x40000040]

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\00025b011d4f (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00025b011d4f (not active ControlSet)
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00025b011d4f
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION E8524C67B85BEA540D9207A4820D5D61739B9379B0AE731FB9435614A7AB22365D988D5EB3136E66B6E65A6F26A760364A44938BD6ED3EC46C2A69396A5B1821ACAADBE3E485A5359B29FC 0B9EEAF1C1D83086086DCDD7E47247C0613B934E3C96E8312954BF8584137B257395F7D3DFA9E30155E29FEF962B9F6BFAF0767F766CFABA4859D4F43E03453C8A0BF13893D827C9BC7BB6 26120AFDAED8B2A8DAE3974A593BA2DC516B683161145100CA8017065DEA4E6D9235936C83307FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12 7BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6675D575E7D6A3B9808A6171C11EC38DE3DC038D530D6EB34526C78AC4AC231C183FCC25A1C23A80F6B1177F760866A9D0641850E88E70636 89296A40C3DBCE234075F11BA12D86BF4F14C3697B8EC91B5063BE233ED4D8A9BA7B2262EF492D89998491751D86DB56181E58F3FBE44B84D5D28F67F67BB4DD91A3020F77B0FE7CA11A6E 208C535A60BC6E1124D2CE3D12104381653AE2A5532D66DDE818F82A643A2B4BF3047FE45283CCBB2E0958225ECD6B8EC6A6D5686EFE0B0032A2CECC8E1C305D6F293615810B029BE8B8CD 2EEAAE05295C6AE37178CF5CA3D4FC22B42CD226503435E837A8435BE74F92C2CB972B4FB31ACA60641C392BFA5E9E2666533E0DC088F7CC4AE5F12C4C0

---- EOF - GMER 1.0.15 ----



Sonderlich groß scheint es ja nicht zu sein, verglichen mit den Logs die manch anderer hier schon gepostet hat. Hoffe, ich hab wirklich alles richtig gemacht.

Der Bluescreen schien tatsächlich von GMER ausgelöst geworden zu sein oder seh ich das falsch? immerhin scheint laut dem Log die "fwxyypow.sys" die ihn verursacht hatte, zu GMER zu gehören.


Hier noch der Log von OTL nachdem ich den Code dort ausgeführt hatte:

All processes killed
========== OTL ==========
Service AZFPJND stopped successfully!
Service AZFPJND deleted successfully!
File File not found not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 484849 bytes
->Temporary Internet Files folder emptied: 5549760 bytes
->Java cache emptied: 26897418 bytes
->FireFox cache emptied: 49083648 bytes
->Flash cache emptied: 405 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 246162 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: XXX
->Temp folder emptied: 88263440 bytes
->Temporary Internet Files folder emptied: 10922534 bytes
->Java cache emptied: 45686062 bytes
->FireFox cache emptied: 23830274 bytes
->Flash cache emptied: 48323 bytes

User: XXX
->Temp folder emptied: 8345571 bytes
->Temporary Internet Files folder emptied: 19090267 bytes
->Java cache emptied: 16746574 bytes
->FireFox cache emptied: 75328446 bytes
->Flash cache emptied: 19274 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 32392119 bytes
%systemroot%\System32 .tmp files removed: 3542919 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 22328145 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 409,00 mb


OTL by OldTimer - Version 3.2.1.1 log created on 04162010_112152

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Ok, wie gehts weiter?

Hi,
die Datein "C:\WINDOWS\system32\drivers\sfsync04.sys " sollte zu einem Kopierschutz gehören, bei Virusttotal.com mal prüfen lassen...

Hast Du GMER komplett scannen lassen (Rootkitscan) oder ist das der "einfache" scan den er am Anfang macht.

OTL sagt es hat den Services gestoppt, aber hat dazu kein File gefunden...
Das ist seeeeeehr verdächtig (gestoppt heißt er lief vorher, dann müsste es auch einen Treiber dazu geben)...

Prüfe anhand eines HJ-Logs ob der service "AZFPJND" tatsächlich gestoppt und entfernt wurde...

OSAM
Folge den Anweisungen hier ( http://www.trojaner-board.de/84180-a...n-manager.html ) zur Erstellung eines
Logs und poste das hier in Deinem Thread.

chris

Ja auf dem PC war mal ein Spiel mit Starforce-Kopierschutz. Das sollte also in Ordnung gehen. Hab die Datei trotzdem prüfen lassen. Hier das Ergebnis:


Datei sfsync04.sys empfangen 2010.04.16 09:04:27 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.16 -
AhnLab-V3 5.0.0.2 2010.04.16 -
AntiVir 7.10.6.111 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.14 -
Avast5 5.0.332.0 2010.04.14 -
AVG 9.0.0.787 2010.04.16 -
BitDefender 7.2 2010.04.16 -
CAT-QuickHeal 10.00 2010.04.16 -
ClamAV 0.96.0.3-git 2010.04.16 -
Comodo 4612 2010.04.16 -
DrWeb 5.0.2.03300 2010.04.16 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7429 2010.04.16 -
F-Prot 4.5.1.85 2010.04.16 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.15 -
GData 19 2010.04.16 -
Ikarus T3.1.1.80.0 2010.04.16 -
Jiangmin 13.0.900 2010.04.16 -
Kaspersky 7.0.0.125 2010.04.16 -
McAfee 5.400.0.1158 2010.04.16 -
McAfee-GW-Edition 6.8.5 2010.04.16 -
Microsoft 1.5605 2010.04.16 -
NOD32 5032 2010.04.15 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-16.01 2010.04.16 -
Panda 10.0.2.7 2010.04.15 -
PCTools 7.0.3.5 2010.04.16 -
Prevx 3.0 2010.04.16 -
Rising 22.43.04.03 2010.04.16 -
Sophos 4.52.0 2010.04.16 -
Sunbelt 6182 2010.04.16 -
Symantec 20091.2.0.41 2010.04.16 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.16.2279 2010.04.16 -
VirusBuster 5.0.27.0 2010.04.15 -
weitere Informationen
File size: 50176 bytes
MD5...: 05e3038180cd846b0bca0e915163606a
SHA1..: 4379fbcd4bc2b045149a948399ab15726d6c18d5
SHA256: a7445a76250219b2a38b69f4bef3902fc02a6c0f4e0f987e131d1d7f3b753a60
ssdeep: 1536:K7PeGZByXQWfXpIQ5m35odxotn71L/jakhNfK6Rc:K7PeG/BGIQ5m35odxo
tn71L/jacNfK6R
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd3b0
timedatestamp.....: 0x44241dd5 (Fri Mar 24 16:27:01 2006)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd1a 0xe00 6.16 3f1b3c96b6c6300942ab106a127f6a0e
.rdata 0x2000 0x499 0x600 3.75 8a4c5d70be427d6d2153735b5fcd3b08
.data 0x3000 0xc80 0x200 0.66 195685f560d75f349554693e973d649e
.sfsign1 0x4000 0x80 0x200 2.42 a33afa26541f671edba231fbe4c0642f
PAGE 0x5000 0x68c0 0x6a00 6.60 fe84d84c04c9ff6e57baaa78228cb0ee
PAGEI 0xc000 0x22e7 0x2400 5.87 fb6521d9af878d57222bcf46645b5874
.sfinit 0xf000 0x65e 0x800 4.55 e116b8cb64286ccf86378f1dbcabfc21
.rsrc 0x10000 0x540 0x600 2.93 3fa1860f3c33583bb4895050acc0d57b
.sfreloc 0x11000 0xbc6 0xc00 6.14 30078658c72bd0dda1f5f9cfbdcda913

( 2 imports )
> HAL.dll: KfAcquireSpinLock, KeGetCurrentIrql, KfLowerIrql, KfRaiseIrql, KeStallExecutionProcessor, KfReleaseSpinLock
> ntoskrnl.exe: MmSystemRangeStart, ZwQuerySystemInformation, ExFreePoolWithTag, ExAllocatePoolWithTag, MmGetSystemRoutineAddress, KeWaitForMultipleObjects, KeSetEvent, KeWaitForSingleObject, KeInitializeEvent, IofCompleteRequest, InitSafeBootMode, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, ExAllocatePoolWithTagPriority, RtlUnicodeStringToAnsiString, RtlxUnicodeStringToAnsiSize, NlsMbCodePageTag, KeDelayExecutionThread, _allmul, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, ExAllocateFromPagedLookasideList, ExFreeToPagedLookasideList, KeLeaveCriticalRegion, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, KeEnterCriticalRegion, ExInitializeNPagedLookasideList, ExInitializePagedLookasideList, ExDeletePagedLookasideList, ExDeleteNPagedLookasideList, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, KeGetCurrentThread, IoCreateSynchronizationEvent, ObfDereferenceObject, ObMakeTemporaryObject, ExAcquireResourceExclusiveLite, ExReleaseResourceLite, ExInitializeResourceLite, ExDeleteResourceLite, ExAcquireResourceSharedLite, ObfReferenceObject, IoFileObjectType, KeBugCheckEx

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Protection Technology (StarForce)
copyright....: (c) Protection Technology (StarForce), 2000-2006
product......: SF FrontLine
description..: FrontLine Synchronization Driver
original name: sfsync04.sys
internal name: sfsync04.sys
file version.: 4.8
comments.....: Visit us at Software Protection, software copy protection, data protection, information protection, license control and management, internet distribution, digital rights management
signers......: -
signing date.: -
verified.....: Unsigned


"AZFPJND" ist im HJT-Logfile nicht mehr zu sehen, der Eintrag hat sich aber vorher auch schon problemlos fixen lassen.

Ich hab GMER komplett scannen lassen. Hab das Programm geöffnet, da kam keine Meldung. Bin auf den Reiter "Rootkit/Malware" dann auf Scan und hab ihn machen lassen, bis sich nix mehr unten bei der Scananzeige getan hat.


OSAM liefere ich gleich nach

ok hier noch das Logfile von OSAM:


Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 12:08:58 on 16.04.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.0.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "O&O Software GmbH" - C:\WINDOWS\system32\OODBS.exe

[Common]
-----( %SystemRoot%\Tasks )-----
"WebReg Deskjet D1400 series.job" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"speech.cpl" - "Microsoft" - C:\WINDOWS\system32\speech.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found)
"ECSEPM" - "Sony Ericsson Mobile Communications AB" - C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\ecsepm.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ADI DTS Filter Service" (ADIDTSFiltService) - ? - C:\WINDOWS\System32\drivers\adidts.sys (File not found)
"ADI UAA Function Driver for High Definition Audio Service" (ADIHdAudAddService) - "Analog Devices, Inc." - C:\WINDOWS\System32\drivers\ADIHdAud.sys
"AE Audio Service" (AEAudio) - "Andrea Electronics Corporation" - C:\WINDOWS\System32\drivers\AEAudio.sys
"Asushwio" (Asushwio) - ? - C:\WINDOWS\system32\drivers\Asushwio.sys (File found, but it contains no detailed information)
"atitray" (atitray) - ? - C:\PROGRA~1\NGOATI~1.4\ATT\atitray.sys (File not found)
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"EagleNT" (EagleNT) - ? - C:\WINDOWS\system32\drivers\EagleNT.sys (File not found)
"enodpl" (enodpl) - ? - C:\WINDOWS\System32\drivers\enodpl.sys (File found, but it contains no detailed information)
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"FRITZ!Box SL" (AVMUNET) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmunet.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys (File found, but it contains no detailed information)
"gUSBSTOi" (gUSBSTOi) - ? - C:\DOKUME~1\theMan\LOKALE~1\Temp\gUSBSTOi.sys (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"ithsgt" (ithsgt) - ? - C:\WINDOWS\System32\DRIVERS\ithsgt.sys (File found, but it contains no detailed information)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"lilsgt" (lilsgt) - ? - C:\WINDOWS\System32\DRIVERS\lilsgt.sys (File found, but it contains no detailed information)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information)
"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys
"NVR0FLASHDev" (NVR0FLASHDev) - ? - C:\WINDOWS\nvflash.sys (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PlayLinc Adapter" (hamachi_oem) - "Applied Networking Inc." - C:\WINDOWS\System32\DRIVERS\gan_adapter.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SenFilt Service" (SenFiltService) - "Sensaura" - C:\WINDOWS\System32\drivers\Senfilt.sys
"Sony Ericsson Device 046 Driver driver (WDM)" (SE2Ebus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE2Ebus.sys
"speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology (StarForce)" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology (StarForce)" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection Synchronization Driver (version 4.x)" (sfsync04) - "Protection Technology (StarForce)" - C:\WINDOWS\System32\drivers\sfsync04.sys
"StarForce Protection VFS Driver (version 2.x)" (sfvfs02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfvfs02.sys
"tandpl" (tandpl) - ? - C:\WINDOWS\System32\drivers\tandpl.sys (File found, but it contains no detailed information)
"tmcomm" (tmcomm) - "Trend Micro Inc." - C:\WINDOWS\system32\drivers\tmcomm.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "MCLiteShellExt Class" - ? - C:\Programme\ICQLite\ICQLiteShell.dll (File not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found)
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? - (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{A5110426-177D-4e08-AB3F-785F10B4439C} "Sony Ericsson Datei-Manager" - "Sony Ericsson Mobile Communications AB" - C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / http://java.sun.com/update/1.6.0/jin...ndows-i586.cab
{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / http://java.sun.com/update/1.6.0/jin...ndows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / http://java.sun.com/update/1.6.0/jin...ndows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx / http://fpdownload.macromedia.com/pub...sh/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / http://download.microsoft.com/downlo...eckControl.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / http://java.sun.com/update/1.5.0/jin...ndows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
{A93C41D8-01F8-4F8B-B14C-DE20B117E636} "HP Intelligente Auswahl" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
{E763472E-A716-4CD9-89BD-DBDA6122F741} "HP Sammelmappe" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{053F9267-DC04-4294-A72C-58F732D338C0} "HP Print Clips" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"amd_dc_opt" - "AMD" - C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"Trojancheck 6 Guard" - ? - C:\Programme\Trojancheck 6\tcguard.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\WINDOWS\system32\GameMon.des
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit Online Solutions :: Index

Hi,

man könnte zwar aufräumen, da ist aber nicht zwingend notwendig...

Was treibt der Rechner?

chris

nichts ungewöhnliches. Aber er zeigte auch vorher schon keine Auffälligkeiten. Ich kann mich täuschen, aber er scheint mir beim Systemstart schneller geworden zu sein.

Meinst Du das System ist sauber?

Ach ja, was mir aufgefallen ist: Ich hatte beim Erstellen des ersten OTL-Logs zwar angegeben, dass er alle Dateien scannen soll aber er hat scheinbar doch "nur" 90 Tage zurückgeschaut. Ich habe aber allen Grund zur Annahme dass das Rootkit (falls es nun eines war) schon deutlich länger auf dem PC war. Macht das was?

Hi,

ein Rootkir wäre von GMER normalerweise erwischt worden, auch OSAM kann Hinweise liefern... Sicher ist man nie, schließlich basteln die Damen und Herren jetzt in diesem Augenblick schon wieder an neuen Teilen die wir nicht kennen.. Dann dauert es etwas bis die Welle kommt, noch etwas bis sie erkannt wird und dann geht der ganze Sch... wieder von vorne los...

Beobachte den Rechner, Update MAM und scanne alle Woche einmal komplett...

chris