Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antispyware Soft Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2010, 00:02   #1
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo!

Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die Musik und jetzt stehe ich da:

Egal welche App ich starten will kommt:
"Application cannot be executed. The file xxxxx.xxx (applikationsfile) is infected. Do you want to activate your antivirus software now?"

Es kommt dann irgendwann ein Fenster mit
"Antispyware Soft
Innovative protection for your PC"

Das Sicherheitscenter von Windows wird geöffnet.

es kommen Meldungen, die sagen, dass 38 Malwareprogramme auf meinem Rechneer wären und ob ich diese beseitigen möchte.

Ausserdem werden automatisch Pornoseiten im Internetexplorer gestartet.

Ixh habe mit Malwarebytes, das zufällig auf dem Rechner installiert ist im protected mode einen Reinigungsversuch gemacht, der 18 infizierte Objekte fand und beseitigte, dann neu im protected mode gestartet, alles schien OK, eine Malware trace wurde noch aus der Registry entfernt. Nach Normalstart war das Problem aber wieder komplett da!

Hier der Malwarebytes Log, den ich glücklicherweise über einen Memorystick aus dem Rechner lotsen konnte...

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3900
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

04.06.2010 23:41:39
mbam-log-2010-06-04 (23-41-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 238290
Laufzeit: 16 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{836222e2-47cf-4fcb-bae1-b3679083edc1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uedijvrc.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\Temp\ersoacwxmn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\0.21977870949342415.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
         
Ich hoffe, dass ich in meiner Panik die Forumsregeln eingehalten habe und mir hier einmal mehr geholfen werden!

Danke!
Winfried

Alt 05.06.2010, 03:20   #2
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Also ich habe inzwischen (mehr per Zufall ) die allgemeine Entfernungsanleitung hier im Forum gefunden und ging also diese erstmal durch.

Nachdem ich aber schon mit Malwarebytes gearbeitet hatte, scheint Rkill im abgesicherten Windows Modus nichts zum Stoppen gefunden zu haben. Das finde ich etwas verdächtig... Allerdings hatte ich die nvapps.xml auf nvapps.xl1 und k77a8.dll auf k77a8.dl1umbenannt, vielleicht wurden sie darum nicht gefunden oder eliminiert...

In der Proxyeinstellung habe ich jetzt das Häkchen entfernt.

Malwarebytes lässt sich im abgesicherten Modus problemlos starten, findet auch nichts.

ASER: in Windows\System32\Drivers hat GMER die Datei kgzdy.sys gefunden, die irgendwie immer aktualisiert wird (sieht man am Datum) wenn man sie im Windows Explorer ansieht ...

Also es ist alles noch etwas sehr komisch...

Ich poste dann noch die Logs.

OTL

Code:
ATTFilter
OTL logfile created on: 05.06.2010 02:17:18 - Run 1
OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS
Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT
Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)
SRV - [2006.06.18 14:56:10 | 000,712,704 | ---- | M] (UltraVNC) [Auto | Stopped] -- C:\Programme\UltraVNC\WinVNC.exe -- (winvnc)
SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Stopped] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)
SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)
DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)
DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)
DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)
DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)
DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)
DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)
DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)
DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa)
DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)
DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)
DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)
DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
 
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [skb]  File not found
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)
O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()
O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = U:\FOSERVER.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = X:\IFCSTART.BAT File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 45681376
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)
O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\AutoRun\command - "" = E:\ -- File not found
O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\open\Command - "" = WScript.exe .\autorun.vbs
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.05.17 15:32:00 | 000,000,000 | ---D | M]
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: SSHNAS -  File not found
Unable to start service SrService!
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 01:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\k77a8.dll
[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml
[2010.06.04 23:45:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent
[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.06.04 22:31:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf
[2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2010.06.04 22:30:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp
[2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput
[2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll
[2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz
[2010.04.05 01:56:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Musikdownload
[2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager
[2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC
[2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy
 
========== Files - Modified Within 90 Days ==========
 
[2010.06.05 02:19:22 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
[2010.06.05 02:15:35 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT
[2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 01:24:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.05 01:23:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.05 01:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.05 01:22:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini
[2010.06.05 01:22:19 | 003,250,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.06.05 01:18:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.05 00:19:01 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini
[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1
[2010.06.05 00:17:54 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.06.05 00:17:51 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp
[2010.06.05 00:17:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe
[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f   Micros-Fidelio -  FO Server.lnk
[2010.04.06 23:14:45 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp
[2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.03.22 19:28:12 | 000,000,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
 
========== Files Created - No Company Name ==========
 
[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
[2010.06.04 22:30:50 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:22 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedya.exe
[2010.06.04 22:15:20 | 000,000,250 | -H-- | C] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.06 23:14:45 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp
[2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini
[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
 
========== LOP Check ==========
 
[2010.06.04 22:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
[2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics
[2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid
[2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2007.05.22 14:42:47 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.09.18 12:42:18 | 000,000,572 | ---- | M] () -- C:\CibRegSvr.log
[2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2007.05.24 11:21:27 | 000,001,710 | ---- | M] () -- C:\DEBUG.LOG
[2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.05.21 15:31:30 | 000,000,452 | ---- | M] () -- C:\mfInst.log
[2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2009.03.28 01:35:57 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.06.05 01:23:45 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys
[2007.05.17 15:57:58 | 000,000,440 | ---- | M] () -- C:\RHDSetup.log
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.05.17 17:24:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2007.05.17 17:24:05 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2007.05.17 17:24:05 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\drivers\*.sys /90 >
[2010.06.05 02:20:20 | 000,823,808 | ---- | M] () -- C:\WINDOWS\system32\drivers\kgzdy.sys
< End of report >
         
EXTRA

Code:
ATTFilter
OTL Extras logfile created on: 05.06.2010 02:17:18 - Run 1
OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS
Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT
Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293
"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521
"443:TCP" = 443:TCP:*:Enabled:IP PORT 443
"80:TCP" = 80:TCP:*:Enabled:IP PORT 80
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621
"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900
"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400
"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)
"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE" = C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE" = C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation)
"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)
"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)
"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)
 
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 01.04.2010 14:33:09 | Computer Name = MFSRV01 | Source = G4Cti | ID = 5
Description = OSI_Hipath3000: Nicht verbunden!     Windows-Socket-Fehler: Ein Verbindungsversuch
 ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß
 reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene
 Host nicht reagiert hat (10060), auf API 'connect'     Thread: HospiX Entry - PBX Interface
 TThreadCtiSteuerung
 
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 04.06.2010 18:22:33 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 04.06.2010 18:22:34 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
[ System Events ]
Error - 04.06.2010 19:53:50 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 19:55:37 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:11:13 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:12:01 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:12:43 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:12:55 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:15:14 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:15:32 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:   %%2
 
 
< End of report >
         

GMER:

GMER Logfile:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-05 02:49:39
Windows 5.1.2600 Service Pack 3
Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys


---- Kernel code sections - GMER 1.0.15 ----

.pak2    C:\WINDOWS\system32\drivers\kgzdy.sys                                     entry point in ".pak2" section [0xF73B74E0]
?        C:\WINDOWS\system32\drivers\kgzdy.sys                                     Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE     Ntfs.sys                                                                  F7193E55 4 Bytes  CALL 865D4159 

---- User code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtProtectVirtualMemory     7C91D6EE 5 Bytes  JMP 006E000A 
.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtWriteVirtualMemory       7C91DFAE 5 Bytes  JMP 006F000A 
.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!KiUserExceptionDispatcher  7C91E47C 5 Bytes  JMP 006D000C 
.text    C:\WINDOWS\system32\svchost.exe[612] USER32.dll!GetCursorPos              7E37974E 5 Bytes  JMP 0068000A 
.text    C:\WINDOWS\system32\svchost.exe[612] ole32.dll!CoCreateInstance           774D057E 5 Bytes  JMP 0132000A 
.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtProtectVirtualMemory            7C91D6EE 5 Bytes  JMP 00B8000A 
.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtWriteVirtualMemory              7C91DFAE 5 Bytes  JMP 00BE000A 
.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!KiUserExceptionDispatcher         7C91E47C 5 Bytes  JMP 00B7000C 

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Ntfs \Ntfs                                                    86506EC8
Device   \Driver\aksusb \Device\00000058                                           AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)

---- Services - GMER 1.0.15 ----

Service   (*** hidden *** )                                                        [BOOT] kgzdy                                                         <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Type                         1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Start                        0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@ErrorControl                 0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Group                        Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Type                             1
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Start                            0
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@ErrorControl                     0
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Group                            Boot Bus Extender

---- EOF - GMER 1.0.15 ----]
         
--- --- ---


Gruss,
Winfried
__________________


Geändert von wgh52 (05.06.2010 um 03:34 Uhr)

Alt 05.06.2010, 03:44   #3
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hier noch die RSIT Logs

RSIT Logfile:
RSIT Logfile:
Code:
ATTFilter
Logfile of random's system information tool 1.07 (written by random/random)
Run by Administrator at 2010-06-05 04:36:44
Microsoft Windows XP Professional Service Pack 3
System drive C: has 23 GB (76%) free of 30 GB
Total RAM: 1022 MB (74% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}]
C:\WINDOWS\system32\k77a8.dll - C:\WINDOWS\system32\k77a8.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-05-28 278128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"skb"=rundll32 uedijvrc.dll,,Run []
"xaknoleo"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Octoshape Streaming Services"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe [2008-05-22 156944]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-12-18 40368]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
C:\cleansweep.exe\cleansweep.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu]
C:\Temp\fn4yj.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
C:\Temp\debug.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
c:\Temp\Pql.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
c:\Temp\lxqg3foj.dll, RestoreWindows []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
f   Micros-Fidelio -  FO Server.lnk - U:\FOSERVER.exe
i    Micros-Fidelio -  Interface.lnk - X:\IFCSTART.BAT
NDAS Device Management.lnk - C:\Programme\NDAS\System\ndasmgmt.exe

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
C:\WINDOWS\system32\PCANotify.dll [2002-02-15 24638]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
har98fefiesjfs93s8i9sejsdf - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=45681376
"NoFolderOptions"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\UltraVNC\vncviewer.exe"="C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe"
"C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe"
"C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"="C:\WINDOWS\SYSTEM32\WUAUCLT.EXE:*:Enabled:C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE"="C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program"
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE"="C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service"
"C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service"
"D:\fidelio\program\Ifc7.exe"="D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd."
"C:\programme\HospiX Entry\g4.exe"="C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry"
"C:\programme\hospix entry\g4servicectrl.exe"="C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d891d302-d557-11de-a98e-0019990564f0}]
shell\AutoRun\command - E:\
shell\open\command - WScript.exe .\autorun.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}]
shell\AutoRun\command - lgrncie.bat
shell\explore\command - lgrncie.bat
shell\open\command - lgrncie.bat


======List of files/folders created in the last 1 months======

2010-06-05 04:36:51 ----D---- C:\Programme\trend micro
2010-06-05 04:36:44 ----D---- C:\rsit
2010-06-05 01:34:17 ----D---- C:\WINDOWS\system32\k77a8.dll
2010-06-05 01:29:31 ----D---- C:\WINDOWS\system32\nvapps.xml
2010-06-05 00:17:34 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-06-04 23:54:52 ----A---- C:\WINDOWS\ntbtlog.txt
2010-06-04 22:31:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-06-04 22:30:50 ----A---- C:\WINDOWS\Pjedyb.exe
2010-06-04 22:30:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
2010-06-04 22:15:22 ----A---- C:\WINDOWS\Pjedya.exe
2010-05-26 23:44:53 ----HDC---- C:\WINDOWS\$NtUninstallKB981793$
2010-05-22 22:24:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 22:22:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 22:22:49 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe
2010-05-22 22:22:47 ----D---- C:\Programme\dBpoweramp
2010-05-15 11:54:26 ----A---- C:\WINDOWS\system32\pncrt.dll
2010-05-15 11:54:02 ----D---- C:\Programme\FormatFactory
2010-05-13 03:00:23 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-11 10:43:44 ----D---- C:\Programme\Downloader Qobuz
2010-05-11 10:43:44 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

======List of files/folders modified in the last 1 months======

2010-06-05 04:36:51 ----RD---- C:\Programme
2010-06-05 04:34:03 ----D---- C:\Temp
2010-06-05 02:13:53 ----D---- C:\WINDOWS\system32
2010-06-05 02:13:53 ----D---- C:\WINDOWS
2010-06-05 01:53:36 ----HD---- C:\WINDOWS\inf
2010-06-05 01:53:35 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-05 00:19:01 ----A---- C:\WINDOWS\ais.ini
2010-06-05 00:18:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-05 00:17:54 ----A---- C:\WINDOWS\BrmfBidi.ini
2010-06-04 23:43:57 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$
2010-06-04 23:43:57 ----D---- C:\WINDOWS\system32\drivers
2010-06-04 23:05:51 ----SD---- C:\WINDOWS\Tasks
2010-06-04 22:31:06 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-06-03 01:04:30 ----D---- C:\WINDOWS\Prefetch
2010-05-28 09:37:18 ----SHD---- C:\WINDOWS\Installer
2010-05-13 21:59:04 ----D---- C:\WINDOWS\Debug
2010-05-13 03:00:25 ----D---- C:\Programme\Outlook Express
2010-05-12 09:08:46 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-09 00:35:41 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2002-02-11 33496]
R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168]
R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 ndasbus;NDAS Bus Driver; C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2005-03-31 39168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2000-09-11 10816]
S1 lfsfilt;Lean File Sharing; \??\C:\WINDOWS\system32\DRIVERS\lfsfilt.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
S2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160]
S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber; C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]
S3 BrParWdm;Brother WDM-Treiber (parallel); C:\WINDOWS\System32\Drivers\BrParwdm.sys [2001-08-18 39808]
S3 BrSerWDM;Brother WDM-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2001-08-17 60416]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]
S3 ndasscsi;NDAS SCSI Miniport Driver; C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2005-03-31 91392]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []
S3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]
S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 awhost32;pcAnywhere Host Service; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2002-02-15 114749]
S2 G4AAA;HospiX Entry - AAA Service; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4Cti;HospiX Entry - PBX Interface; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4DataImport;HospiX Entry - Call data import; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4FOC;HospiX Entry - PMS Connector; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4ServiceControl;HospiX Entry - Service Controller; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-05 135664]
S2 ndassvc;NDAS Service; C:\Programme\NDAS\System\ndassvc.exe [2005-03-31 377856]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
S2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]

-----------------EOF-----------------
         
--- --- ---

--- --- ---



Info.txt
[code]info.txtRSIT Logfile:RSIT Logfile:
Code:
ATTFilter
logfile of random's system information tool 1.06 2010-06-05 04:36:55

======Uninstall list======


======System event log======

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7374
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7373
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7372
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7371
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 26
Message: Anwendungspopup: Windows - Datenverlust beim Schreiben: Es konnten nicht alle Daten für die Datei P:\ gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Dateien woanders zu speichern. 

Record Number: 7370
Source Name: Application Popup
Time Written: 20100505113504.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: MFSRV01
Event Code: 4
Message: Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt>.

Record Number: 2647
Source Name: crypt32
Time Written: 20091006114356.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 2
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.

Record Number: 2646
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 7
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.

Record Number: 2645
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 0
Message: 
Record Number: 2644
Source Name: gusvc
Time Written: 20091006110834.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 0
Message: 
Record Number: 2643
Source Name: gusvc
Time Written: 20091006110734.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Symantec\pcAnywhere\;C:\Programme\CIB pdf brewer
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0f02
"TEMP"=c:\Temp
"TMP"=c:\Temp
"windir"=%SystemRoot%
"SAFEBOOT_OPTION"=MINIMAL

-----------------EOF-----------------
         
--- --- ---

--- --- ---


Ich hoffe Ihr könnt mir helfen. Ich probiere jetzt nochmal ein normalen Boot.

Au Mann!

Winfried
__________________

Alt 05.06.2010, 04:19   #4
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Also ich verzweifle gerade, die ganze stundenlange Aktion hat nichts gebracht...

Nach Neustart alles wieder beim alten: ich kann kein Programm starten, immer die bekannte Meldung.

Also wieder abgesicherter Modus und nochmal Rkill.com gestartet, das findet aber keine zu stoppenden Prozesse ausser sich selbst...

Dann nochmal Malwarebytes (nach update mit neuesten Daten) gestartet, findet jetzt was, läuft aber noch eine Weile. Was für eine schlaflose Nacht wegen diesem Mist (ja, habe ich mir ja selbst zuzuschreiben, weiss schon )

Bis später, ich poste dann noch den Malwarebytes Scan.
Gruss,
Winfried

Alt 05.06.2010, 04:44   #5
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion





Es ist mitten in der Nacht, also etwas geduld

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
O4 - HKLM..\Run: [skb]  File not found
O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()
O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe
[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
:services
:files
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf
C:\cleansweep.exe
C:\Temp\fn4yj.exe
C:\Temp\debug.exe 
c:\Temp\Pql.exe
c:\Temp\lxqg3foj.dll

:reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]


:Commands
[purity]
[emptytemp]
[reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 2

Berichte ob Du wieder in den Normalen Modus starten kannst.

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.06.2010, 05:15   #6
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo Daniel,

ungeduld Euch Helfern gegenüber wäre ja ganz unangebracht! Vielen Dank, dass Du zu dieser Zeit schon nach uns unglücklichen schaust!

Also ich habe Malwarebytes zuende laufen lasen, hier ist der Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

05.06.2010 06:06:28
mbam-log-2010-06-05 (06-06-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244914
Laufzeit: 55 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Also, ich gehe dann Deinem Rat folgend mit OTL.exe und Deinem Code weiter, ohne Malwarebytes "reinigen" zu lassen. Hoffentlich ist das OK...

Gruss, bis bald,
Winfried

Antwort

Themen zu Antispyware Soft Infektion
adware.ezlife, anti-malware, antimalware, antispyware, antivirus, application cannot be executed., automatisch, cleansweep.exe, dateien, downloader, explorer, hijack.folderoptions, infektion, malwarebytes, malwarebytes' anti-malware, microsoft, problem, rechner, rogue.antimalwaredoctor, software, sshnas21.dll, starten, system, system32, temp, trojan.agent, trojan.downloader, trojan.dropper, winlogon.exe, zufällig




Ähnliche Themen: Antispyware Soft Infektion


  1. Antispyware Soft Virus
    Log-Analyse und Auswertung - 15.06.2010 (59)
  2. Antispyware Soft - Trojaner und Probleme mit dem IE
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (17)
  3. Antispyware soft erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 02.06.2010 (14)
  4. Problem mit Antispyware Soft
    Log-Analyse und Auswertung - 01.06.2010 (7)
  5. Antispyware Soft Demo
    Plagegeister aller Art und deren Bekämpfung - 27.05.2010 (4)
  6. Antispyware Soft / Antivirus Soft -- auf einem Benutzerkonto weg / auf dem anderen da
    Log-Analyse und Auswertung - 26.05.2010 (0)
  7. Antispyware Soft
    Log-Analyse und Auswertung - 21.05.2010 (7)
  8. Antispyware Soft entdeckt
    Plagegeister aller Art und deren Bekämpfung - 16.05.2010 (1)
  9. Antispyware soft
    Log-Analyse und Auswertung - 11.05.2010 (7)
  10. Antispyware-Soft ...
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (1)
  11. AntiSpyWare Soft
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (23)
  12. AntiSpyWare Soft, blockiert Problemlösungen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (3)
  13. AntiSpyWare Soft kommt wieder
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (1)
  14. was tun bei „Antispyware soft“
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (7)
  15. was tun bei „Antispyware soft“
    Mülltonne - 03.05.2010 (18)
  16. Habe ANTISPYWARE SOFT ?????
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (1)
  17. Antispyware Soft entfernen
    Anleitungen, FAQs & Links - 25.04.2010 (2)

Zum Thema Antispyware Soft Infektion - Hallo! Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die - Antispyware Soft Infektion...
Archiv
Du betrachtest: Antispyware Soft Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.