Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht?

chogo · 04.10.2010, 20:41

Antivir hat in letzter Zeit bei mir häufiger wegen oben genanntem Trojaner gemeckert. Außerdem gabs paar Bluescreens und weiteres Merkwürdiges Verhalten (konnte keine Links mehr ohne Fehlermeldung anklicken, Windowsupdate geht nciht mehr, irgendein dubioses Java-Programm sollte manchmal geöffnet werden (durch kappen der Internetverbindung gabs immer ne fehlermeldung beim Starten), Post im Trojaner-Board geht nicht...)

Daraufhin hab ich mich hier mal verscht schlau zu machen, wobei in den Threads zu diesem Trojaner meist sehr spezielles stand.

Daraufhin bin ich mal den Anweisungen der load.exe gefolgt. (Ausnahme: Malwarebytes' AM hab ich mehrfach davor ausgeführt und auch die jeweiligen Funde in Quarantäne gesetzt.)

Die logs sind gezippt im Anhang.

Es wäre schön, wenn ihr mir sagen könntet, ob ich den Trojaner los bin oder ich noch mehr zur Entfernung machen muss.

Vielen Dank schonmal!

cosinus · 05.10.2010, 20:28

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O33 - MountPoints2\{7d1f50ae-8470-11df-a0c4-9fa215e2741e}\Shell - "" = AutoRun
O33 - MountPoints2\{7d1f50ae-8470-11df-a0c4-9fa215e2741e}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{f492e140-baac-11df-a53e-cd702900600c}\Shell - "" = AutoRun
O33 - MountPoints2\{f492e140-baac-11df-a53e-cd702900600c}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe -- File not found
[2010.08.11 16:57:16 | 000,011,264 | ---- | C] () -- C:\Windows\System32\wdokannp.dll
[2010.08.11 16:57:14 | 000,072,568 | ---- | C] () -- C:\Windows\System32\drivers\wdokan.sys
[2010.08.11 16:57:06 | 000,032,768 | ---- | C] () -- C:\Windows\System32\wdokanusr.dll
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

chogo · 06.10.2010, 19:42

Danke schonmal für die Hilfe!

Ich habe die Aktion durchgeführt. Allerdings glaube ich nciht, dass es hilft: Dokan gehört zur Software von wuala (ähnlich wie dropbox), von dem ich bis jetzt ncoh nichts negatives gehört habe.

Zitat:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7d1f50ae-8470-11df-a0c4-9fa215e2741e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7d1f50ae-8470-11df-a0c4-9fa215e2741e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7d1f50ae-8470-11df-a0c4-9fa215e2741e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7d1f50ae-8470-11df-a0c4-9fa215e2741e}\ not found.
File F:\WD SmartWare.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f492e140-baac-11df-a53e-cd702900600c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f492e140-baac-11df-a53e-cd702900600c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f492e140-baac-11df-a53e-cd702900600c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f492e140-baac-11df-a53e-cd702900600c}\ not found.
File F:\setup_vmc_lite.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ not found.
File F:\setup_vmc_lite.exe not found.
C:\Windows\System32\wdokannp.dll moved successfully.
C:\Windows\System32\drivers\wdokan.sys moved successfully.
C:\Windows\System32\wdokanusr.dll moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes

User: ich
->Temp folder emptied: 1293113 bytes
->Java cache emptied: 19518 bytes
->FireFox cache emptied: 35707579 bytes
->Flash cache emptied: 2042 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1147394 bytes
RecycleBin emptied: 835744532 bytes

Total Files Cleaned = 833,00 mb

OTL by OldTimer - Version 3.2.14.1 log created on 10062010_200536

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\hsperfdata_PETER$\1060 not found!

Registry entries deleted on Reboot...

Das Problem besteht übrigens immer noch: eben kam beim Klick auf einen Link in Google plötzlich eine komplett andere Seite. Und gestern hat sich wieder ohne eine Aktion von mir eine Webseite geöffnet und hat versucht ein java-Programm zu starten. Und Antivir hat ne Virenmeldung ausgespuckt:

Zitat:

In der Datei 'C:\Users\ich\AppData\Local\Temp\0.28857643866110183.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Mufanom.D' [trojan] gefunden.

cosinus · 06.10.2010, 20:35

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

chogo · 06.10.2010, 20:54

Habs da hochgeladen

cosinus · 06.10.2010, 22:51

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

chogo · 07.10.2010, 21:35

Mhh, er hat ein Bootkit gefunden und entfernt... Hoffe das das alles war. WindowsUpdate geht zumindest wieder...

Hier der log von combofix:
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-07.01 - ich 07.10.2010  21:43:35.1.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3582.2680 [GMT 2:00]
ausgeführt von:: c:\users\ich\Desktop\cofi.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\copyfstq.exe
c:\windows\dropcpyr.dll
c:\windows\system32\vbzlib1.dll

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-07 bis 2010-10-07  ))))))))))))))))))))))))))))))
.

2010-10-06 18:05 . 2010-10-06 18:05	--------	d-----w-	C:\_OTL
2010-10-03 18:43 . 2010-10-03 18:43	--------	d-----w-	c:\users\ich\AppData\Roaming\Malwarebytes
2010-10-03 18:43 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-03 18:43 . 2010-10-03 18:43	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-03 18:43 . 2010-10-03 18:43	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-03 18:43 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-24 16:36 . 2004-08-18 11:39	36864	----a-w-	c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\IEMenu.exe
2010-09-15 16:16 . 2010-08-21 05:32	316928	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-08 16:24 . 2010-10-02 14:01	--------	d-----w-	c:\users\ich\AppData\Roaming\vlc
2010-09-07 21:37 . 2009-09-19 14:52	105088	----a-w-	c:\windows\system32\drivers\ZTEusbnmeaext2.sys
2010-09-07 21:37 . 2009-09-19 14:52	105088	----a-w-	c:\windows\system32\drivers\ZTEusbnmeaext.sys
2010-09-07 21:37 . 2010-09-07 21:37	--------	d-----w-	c:\program files\ZTEDriver
2010-09-07 20:38 . 2010-09-07 20:38	--------	d-----w-	c:\users\ich\AppData\Roaming\Vodafone
2010-09-07 20:38 . 2009-09-19 14:52	105088	----a-w-	c:\windows\system32\drivers\ZTEusbvoice.sys
2010-09-07 20:38 . 2009-09-19 14:52	105088	----a-w-	c:\windows\system32\drivers\ZTEusbnmea.sys
2010-09-07 20:38 . 2009-08-21 14:43	114688	----a-w-	c:\windows\system32\drivers\ZTEusbnet.sys
2010-09-07 20:38 . 2009-09-19 14:52	105088	----a-w-	c:\windows\system32\drivers\ZTEusbmdm6k.sys
2010-09-07 20:38 . 2009-09-19 14:52	105088	----a-w-	c:\windows\system32\drivers\ZTEusbser6k.sys
2010-09-07 20:38 . 2010-09-07 20:38	--------	d-----w-	c:\programdata\Vodafone
2010-09-07 20:38 . 2010-09-07 20:38	--------	d-----w-	c:\programdata\FLEXnet
2010-09-07 20:37 . 2010-09-07 20:37	--------	d-----w-	c:\users\ich\AppData\Local\{460B8D94-E5AF-4A67-B475-D079D5805431}

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 19:52 . 2009-10-18 11:10	--------	d-----w-	c:\users\ich\AppData\Roaming\Spamihilator
2010-10-07 19:52 . 2009-10-18 13:40	--------	d-----w-	c:\users\ich\AppData\Roaming\uTorrent
2010-10-07 19:52 . 2009-10-18 12:46	--------	d-----w-	c:\program files\Rainlendar2
2010-10-07 19:49 . 2009-07-14 08:47	656040	----a-w-	c:\windows\system32\perfh007.dat
2010-10-07 19:49 . 2009-07-14 08:47	130640	----a-w-	c:\windows\system32\perfc007.dat
2010-10-07 19:36 . 2009-10-18 15:55	--------	d-----w-	c:\users\ich\AppData\Roaming\Free Download Manager
2010-10-07 18:45 . 2009-10-18 10:46	--------	d-----w-	c:\program files\Idoswin Pro
2010-10-05 21:29 . 2009-10-18 11:41	--------	d-----w-	c:\program files\Avant Browser
2010-10-03 19:19 . 2009-10-18 00:18	90584	----a-w-	c:\users\ich\AppData\Local\GDIPFONTCACHEV1.DAT
2010-10-03 18:58 . 2009-11-23 01:51	--------	d-----w-	c:\users\ich\AppData\Roaming\Utmyby
2010-10-03 18:58 . 2010-02-20 13:43	--------	d-----w-	c:\users\ich\AppData\Roaming\Ipniox
2010-09-20 16:07 . 2009-10-18 11:11	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-09-15 16:19 . 2009-10-18 13:23	--------	d-----w-	c:\programdata\Microsoft Help
2010-09-12 13:56 . 2010-01-31 20:29	--------	d-----w-	c:\program files\Common Files\MAGIX Services
2010-09-12 13:26 . 2009-10-18 11:12	--------	d-----w-	c:\program files\Picasa3
2010-09-07 21:37 . 2009-10-18 10:04	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-09-07 05:38 . 2009-10-31 16:02	--------	d-----w-	c:\programdata\Avanquest Bluetooth SDK
2010-09-04 17:36 . 2009-10-23 15:26	--------	d-----w-	c:\users\ich\AppData\Roaming\Winamp
2010-09-04 12:25 . 2009-10-23 15:26	--------	d-----w-	c:\program files\Winamp
2010-09-04 12:15 . 2010-03-17 11:05	--------	d-----w-	c:\program files\Winamp Detect
2010-09-03 17:39 . 2009-10-18 12:47	--------	d-----w-	c:\program files\Miranda IM
2010-09-03 16:11 . 2010-08-30 19:52	--------	d-----w-	c:\program files\MsgExport
2010-09-01 17:55 . 2009-10-18 11:44	--------	d-----w-	c:\users\ich\AppData\Roaming\Avant Profiles
2010-08-30 16:14 . 2009-10-18 13:39	--------	d-----w-	c:\program files\uTorrent
2010-08-28 17:12 . 2010-08-28 17:09	--------	d-----w-	c:\program files\Zattoo4
2010-08-25 19:59 . 2009-10-20 14:13	--------	d-----w-	c:\program files\MozyHome
2010-08-25 19:59 . 2010-08-25 19:58	11429880	----a-w-	c:\programdata\Tempmozy-update-276de83018ab0bd479fed02f72221521.exe
2010-08-25 19:59 . 2010-08-25 19:58	11429880	----a-w-	c:\programdata\Tempmozy-update-276de83018ab0bd479fed02f72221521.exe
2010-08-25 17:41 . 2010-07-13 22:08	--------	d-----w-	c:\program files\Wuala Dokan
2010-08-21 13:55 . 2009-10-18 13:09	--------	d-----w-	c:\users\ich\AppData\Roaming\Skype
2010-08-21 13:40 . 2009-10-18 13:10	--------	d-----w-	c:\users\ich\AppData\Roaming\skypePM
2010-08-12 18:29 . 2010-08-12 18:29	2772992	----a-w-	c:\windows\system32\GPhotos.scr
2010-07-29 06:30 . 2010-08-22 17:35	197632	----a-w-	c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-22 17:35	82944	----a-w-	c:\windows\system32\iccvid.dll
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\mozy2]
@="{747E722C-CB46-4a9d-BDFE-192AAD5099B1}"
[HKEY_CLASSES_ROOT\CLSID\{747E722C-CB46-4a9d-BDFE-192AAD5099B1}]
2010-08-19 06:46	3412792	----a-w-	c:\program files\MozyHome\mozyshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\mozy3]
@="{EE6F5A00-7898-40f7-AB77-51FF9D6DEB20}"
[HKEY_CLASSES_ROOT\CLSID\{EE6F5A00-7898-40f7-AB77-51FF9D6DEB20}]
2010-08-19 06:46	3412792	----a-w-	c:\program files\MozyHome\mozyshell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-09-25 328056]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2009-09-13 3698735]
"MirandaIM"="c:\program files\Miranda IM\miranda32.exe" [2010-09-27 814176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-04-30 196608]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

c:\users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Persbackup.lnk - c:\program files\Personal Backup\Persbackup.exe [2009-10-20 3723784]
Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-2-14 1512448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=c:\windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^MozyHome Status.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\MozyHome Status.lnk
backup=c:\windows\pss\MozyHome Status.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^QuickSet.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\QuickSet.lnk
backup=c:\windows\pss\QuickSet.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mumservice]
2010-05-12 12:43	1066304	----a-w-	c:\program files\Motorola\Software Update\mumservice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StarMoneyRunEntry]
2008-10-02 08:15	58120	----a-w-	c:\program files\StarMoney Business 3.0\OflAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-18 16:46	149280	----a-w-	c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"mumservice"=c:\program files\Motorola\Software Update\mumservice.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 wDokan;wDokan;c:\windows\system32\drivers\wdokan.sys [x]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [2009-01-29 6016]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2008-01-29 29736]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2009-07-24 25112]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-27 9216]
R3 MotoConnect Service;MotoConnect Service;c:\program files\Motorola\MotoConnectService\MotoConnectService.exe [2010-04-02 91456]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [2010-04-01 23424]
R3 RRNetCap;RRNetCap Service;c:\windows\system32\DRIVERS\rrnetcap.sys [2009-11-16 27168]
R3 vpcuxd;USB-Virtualisierungsstubdienst;c:\windows\system32\DRIVERS\vpcuxd.sys [2009-07-22 12800]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-08-21 114688]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-09-19 105088]
S0 RRamdisk;Ramdisk Driver;c:\windows\system32\DRIVERS\rramdisk.sys [2008-01-25 12288]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 wDokanMounter;wDokanMounter;c:\program files\Wuala Dokan\mounter.exe [2010-08-11 11776]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-12-18 54784]
S3 k57nd60x;Broadcom NetLink (TM)-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-07-13 229888]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2009-03-06 133632]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2009-03-08 280096]
S3 RRNetCapMP;RRNetCapMP;c:\windows\system32\DRIVERS\rrnetcap.sys [2009-11-16 27168]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2009-05-13 13720]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32	8192	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: add to &BOM - c:\\tools\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\Bluetooth Software\btsendto_ie_ctx.htm
IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm
IE: Open Link Target in Firefox - file://c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\Bluetooth Software\btsendto_ie.htm
IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm
IE: View This Page in Firefox - file://c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
Trusted Zone: c
TCP: {9964DF0C-667E-4974-9360-E37F2FB244BC} = 193.189.244.225 193.189.244.206
FF - ProfilePath - c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\program files\PDF X-Change Viewer\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Picasa3\npPicasa3.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Resume copy - copyfstq.exe
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-MobileConnect - c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(1732)
c:\program files\MozyHome\mozyshell.dll
c:\program files\MozyHome\LIBEAY32.dll
c:\windows\system32\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\atieclxx.exe
c:\windows\system32\taskhost.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bluetooth Software\bin\btwdins.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\conhost.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\MozyHome\mozybackup.exe
c:\windows\system32\sppsvc.exe
c:\program files\MozyHome\mozybackup.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-07  21:56:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-07 19:56

Vor Suchlauf: 9.263.284.224 Bytes frei
Nach Suchlauf: 9.047.347.200 Bytes frei

- - End Of File - - B2A5D3BA1CD003CFCC0F7EA030192D99

--- --- ---

cosinus · 08.10.2010, 11:26

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
c:\users\ich\AppData\Local\{460B8D94-E5AF-4A67-B475-D079D5805431}
c:\users\ich\AppData\Roaming\Utmyby
c:\users\ich\AppData\Roaming\Ipniox

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

chogo · 09.10.2010, 10:09

Vielen Dank auf jeden Fall schonmal für die Hilfe!

so hier der nächste log (ich hoffe das wars dann endlich und mein PC ist wieder rein):

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-08.01 - ich 09.10.2010  10:53:11.2.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3582.2636 [GMT 2:00]
ausgeführt von:: c:\users\ich\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\ich\Desktop\CFScript.txt
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\ich\AppData\Local\{460B8D94-E5AF-4A67-B475-D079D5805431}
c:\users\ich\AppData\Local\{460B8D94-E5AF-4A67-B475-D079D5805431}\1031.MST
c:\users\ich\AppData\Local\{460B8D94-E5AF-4A67-B475-D079D5805431}\Vodafone Mobile Connect.msi
c:\users\ich\AppData\Roaming\Ipniox
c:\users\ich\AppData\Roaming\Utmyby
c:\users\ich\AppData\Roaming\Utmyby\yfxoi.tmp

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-09 bis 2010-10-09  ))))))))))))))))))))))))))))))
.

2010-10-09 08:57 . 2010-10-09 08:57	--------	d-----w-	c:\users\ich\AppData\Local\temp
2010-10-09 08:57 . 2010-10-09 08:57	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-10-09 08:57 . 2010-10-09 08:57	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-10-08 15:02 . 2010-10-08 15:04	--------	d-----w-	C:\Diplomarbeit neu (integrieren)
2010-10-07 20:18 . 2010-03-04 04:04	146304	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-10-07 20:18 . 2010-03-04 03:57	190976	----a-w-	c:\windows\system32\drivers\ks.sys
2010-10-07 20:17 . 2010-06-19 06:15	2048	----a-w-	c:\windows\system32\tzres.dll
2010-10-07 19:40 . 2009-07-14 01:26	21584	----a-w-	c:\windows\system32\drivers\atapi.sys
2010-10-06 18:05 . 2010-10-06 18:05	--------	d-----w-	C:\_OTL
2010-10-03 18:43 . 2010-10-03 18:43	--------	d-----w-	c:\users\ich\AppData\Roaming\Malwarebytes
2010-10-03 18:43 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-03 18:43 . 2010-10-03 18:43	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-03 18:43 . 2010-10-03 18:43	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-03 18:43 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-24 16:36 . 2004-08-18 11:39	36864	----a-w-	c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\IEMenu.exe
2010-09-15 16:16 . 2010-08-21 05:32	316928	----a-w-	c:\windows\system32\spoolsv.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-09 08:50 . 2009-07-14 08:47	656040	----a-w-	c:\windows\system32\perfh007.dat
2010-10-09 08:50 . 2009-07-14 08:47	130640	----a-w-	c:\windows\system32\perfc007.dat
2010-10-09 08:50 . 2009-10-18 13:40	--------	d-----w-	c:\users\ich\AppData\Roaming\uTorrent
2010-10-09 08:50 . 2009-10-18 15:55	--------	d-----w-	c:\users\ich\AppData\Roaming\Free Download Manager
2010-10-09 08:49 . 2009-10-18 11:10	--------	d-----w-	c:\users\ich\AppData\Roaming\Spamihilator
2010-10-09 08:47 . 2009-10-18 10:46	--------	d-----w-	c:\program files\Idoswin Pro
2010-10-09 08:39 . 2009-10-18 12:46	--------	d-----w-	c:\program files\Rainlendar2
2010-10-05 21:29 . 2009-10-18 11:41	--------	d-----w-	c:\program files\Avant Browser
2010-10-03 19:19 . 2009-10-18 00:18	90584	----a-w-	c:\users\ich\AppData\Local\GDIPFONTCACHEV1.DAT
2010-10-02 14:01 . 2010-09-08 16:24	--------	d-----w-	c:\users\ich\AppData\Roaming\vlc
2010-09-20 16:07 . 2009-10-18 11:11	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-09-15 16:19 . 2009-10-18 13:23	--------	d-----w-	c:\programdata\Microsoft Help
2010-09-12 13:56 . 2010-01-31 20:29	--------	d-----w-	c:\program files\Common Files\MAGIX Services
2010-09-12 13:26 . 2009-10-18 11:12	--------	d-----w-	c:\program files\Picasa3
2010-09-07 21:37 . 2010-09-07 21:37	--------	d-----w-	c:\program files\ZTEDriver
2010-09-07 21:37 . 2009-10-18 10:04	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-09-07 20:38 . 2010-09-07 20:38	--------	d-----w-	c:\users\ich\AppData\Roaming\Vodafone
2010-09-07 20:38 . 2010-09-07 20:38	--------	d-----w-	c:\programdata\Vodafone
2010-09-07 20:38 . 2010-09-07 20:38	--------	d-----w-	c:\programdata\FLEXnet
2010-09-07 05:38 . 2009-10-31 16:02	--------	d-----w-	c:\programdata\Avanquest Bluetooth SDK
2010-09-04 17:36 . 2009-10-23 15:26	--------	d-----w-	c:\users\ich\AppData\Roaming\Winamp
2010-09-04 12:25 . 2009-10-23 15:26	--------	d-----w-	c:\program files\Winamp
2010-09-04 12:15 . 2010-03-17 11:05	--------	d-----w-	c:\program files\Winamp Detect
2010-09-03 17:39 . 2009-10-18 12:47	--------	d-----w-	c:\program files\Miranda IM
2010-09-03 16:11 . 2010-08-30 19:52	--------	d-----w-	c:\program files\MsgExport
2010-09-01 17:55 . 2009-10-18 11:44	--------	d-----w-	c:\users\ich\AppData\Roaming\Avant Profiles
2010-08-30 16:14 . 2009-10-18 13:39	--------	d-----w-	c:\program files\uTorrent
2010-08-28 17:12 . 2010-08-28 17:09	--------	d-----w-	c:\program files\Zattoo4
2010-08-25 19:59 . 2009-10-20 14:13	--------	d-----w-	c:\program files\MozyHome
2010-08-25 19:59 . 2010-08-25 19:58	11429880	----a-w-	c:\programdata\Tempmozy-update-276de83018ab0bd479fed02f72221521.exe
2010-08-25 19:59 . 2010-08-25 19:58	11429880	----a-w-	c:\programdata\Tempmozy-update-276de83018ab0bd479fed02f72221521.exe
2010-08-25 17:41 . 2010-07-13 22:08	--------	d-----w-	c:\program files\Wuala Dokan
2010-08-21 13:55 . 2009-10-18 13:09	--------	d-----w-	c:\users\ich\AppData\Roaming\Skype
2010-08-21 13:40 . 2009-10-18 13:10	--------	d-----w-	c:\users\ich\AppData\Roaming\skypePM
2010-08-12 18:29 . 2010-08-12 18:29	2772992	----a-w-	c:\windows\system32\GPhotos.scr
2010-07-29 06:30 . 2010-08-22 17:35	197632	----a-w-	c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-22 17:35	82944	----a-w-	c:\windows\system32\iccvid.dll
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\mozy2]
@="{747E722C-CB46-4a9d-BDFE-192AAD5099B1}"
[HKEY_CLASSES_ROOT\CLSID\{747E722C-CB46-4a9d-BDFE-192AAD5099B1}]
2010-08-19 06:46	3412792	----a-w-	c:\program files\MozyHome\mozyshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\mozy3]
@="{EE6F5A00-7898-40f7-AB77-51FF9D6DEB20}"
[HKEY_CLASSES_ROOT\CLSID\{EE6F5A00-7898-40f7-AB77-51FF9D6DEB20}]
2010-08-19 06:46	3412792	----a-w-	c:\program files\MozyHome\mozyshell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-09-25 328056]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2009-09-13 3698735]
"MirandaIM"="c:\program files\Miranda IM\miranda32.exe" [2010-09-27 814176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-04-30 196608]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

c:\users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Persbackup.lnk - c:\program files\Personal Backup\Persbackup.exe [2009-10-20 3723784]
Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-2-14 1512448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=c:\windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^MozyHome Status.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\MozyHome Status.lnk
backup=c:\windows\pss\MozyHome Status.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^QuickSet.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\QuickSet.lnk
backup=c:\windows\pss\QuickSet.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mumservice]
2010-05-12 12:43	1066304	----a-w-	c:\program files\Motorola\Software Update\mumservice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StarMoneyRunEntry]
2008-10-02 08:15	58120	----a-w-	c:\program files\StarMoney Business 3.0\OflAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-18 16:46	149280	----a-w-	c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"mumservice"=c:\program files\Motorola\Software Update\mumservice.exe

R2 wDokan;wDokan;c:\windows\system32\drivers\wdokan.sys [x]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [2009-01-29 6016]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2008-01-29 29736]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2009-07-24 25112]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-27 9216]
R3 MotoConnect Service;MotoConnect Service;c:\program files\Motorola\MotoConnectService\MotoConnectService.exe [2010-04-02 91456]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [2010-04-01 23424]
R3 RRNetCap;RRNetCap Service;c:\windows\system32\DRIVERS\rrnetcap.sys [2009-11-16 27168]
R3 vpcuxd;USB-Virtualisierungsstubdienst;c:\windows\system32\DRIVERS\vpcuxd.sys [2009-07-22 12800]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-08-21 114688]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-09-19 105088]
S0 RRamdisk;Ramdisk Driver;c:\windows\system32\DRIVERS\rramdisk.sys [2008-01-25 12288]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 wDokanMounter;wDokanMounter;c:\program files\Wuala Dokan\mounter.exe [2010-08-11 11776]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-12-18 54784]
S3 k57nd60x;Broadcom NetLink (TM)-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-07-13 229888]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2009-03-06 133632]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2009-03-08 280096]
S3 RRNetCapMP;RRNetCapMP;c:\windows\system32\DRIVERS\rrnetcap.sys [2009-11-16 27168]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2009-05-13 13720]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32	8192	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: add to &BOM - c:\\tools\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\Bluetooth Software\btsendto_ie_ctx.htm
IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm
IE: Open Link Target in Firefox - file://c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\Bluetooth Software\btsendto_ie.htm
IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm
IE: View This Page in Firefox - file://c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
Trusted Zone: c
TCP: {9964DF0C-667E-4974-9360-E37F2FB244BC} = 193.189.244.225 193.189.244.206
FF - ProfilePath - c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\u9lmxf5f.ich\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\program files\PDF X-Change Viewer\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Picasa3\npPicasa3.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODLED3.00.02.01WSSV"="0305AD5990F991870ACD67DE1B6F4B7E4EB12EB32A8B453140F7D5D63FCEEC7EC854FEBD8B790417EDEE7C8B4218F7FD4FF8955EB624841AEAD38D29CF2CA4DB36C8049EC69CDF6D8A4EA12836065475D56090FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452A9C6AECB7A5D1407A9C6AECB7A5D14071572A7D66D51C192836E7B97AE5C9BD8749BADBF3D44A40EB6C3A05D5A090AA3850E764B2B138DDC780B5FC8F86EDE481796FA5F844B7F0CEB8BC11369E2B983B5BE09E78D93A5AB9ED18D3C27E3456084D413E2CEC22467583694A11F24114B860400F06A69E58DECF8850EFA99DA1D6FDE786667696FA70944BAC4F11260B0F9733DDA80FD2D8382498B94993FB0ECAE55EF3AFAD3C3C62CC71BE7B747F8D9B834E7D0EE1360819F21A7550D58DA2F396882621C6D863692E7DE2DAAB2B3E31003ECB23A38E57128F0270C413C723C30DE7C984271A156B660F4EA6C14E7DE6E30F911C9D52AAFA43E192A8898935E5214EFC8C8EF037F310110A8FE80764EE6A08133EB261C0FC3A252D0196ADF510874B293EA4E1B7C41AC25A6CAE4C12AB3CA3C1350B83052D54B6AD80A877C495A845CCD4E45E00DC95AEE541A7CAF5F2F3CA5E00BEFDCB34F78BD4EDB1710EB7658CB7FF662CC6352156B581DD92C4DD815FAFD95039F5F49006BEEED93C7D1AF9B21E4D084DDA5057CDC0BE7E3A547568A4001CAFB7777804D59AF85CFD58AFA8C41EF2A6314EF314449FBEFD10D166E63BDB36BB8E690D5DAAF38CCECEC17727C55443305F6D149B3FAE991345A760DFC7D179C6EF634CFB9D8E25163C7EE54D24B3985C78FCDE52680CC8C6A0897C1C6CDDAE6A132DD949186BF8400A1F9810954DC1ADB6ADABF092BCD84AC951E4145C36735AFA901721AAB92BA60BA19012E64EF4F45996336E211487F8284216311B4D5D9C4EE7F5BA081D22EFA581B7CE336E5675EB3474DC70DD0EACADBAC24563D7507E39BB5E187832CFB9544C842E04568095352D9AA65BDAB1436264122D53C4957E54AED41C2F1FD264C495AC26E5453BE2491609A7804D0AFCC72D3A2E15407C5749C6A55DC52DB1110397E94ECE7B6772715180B5707EF556653CA8DE4EC99B38DB2DF1E71EA0D07A3E757F24CC857830402AE8DE6B0E90031DE826D5A319EE484B6F74234C80DB59F2FFA391483AE1BB601C75CA3AED48DAFAF4C74D2106A0280D35089E73B0C2DED6AF2EB5EEA685992BF7ACF9CF2F8C337E5EA73F2BD02977C3977E0E6D7EC63CFFA3E30D893E4B93A70D06775B454497122166572302115C59BF4D91EF4C6B259C5CDCD4756B92227C9CA46E4ED1829DB0D7BE49CA1B550813240A810B0E65771B208B57E502ED525835AB3B5DB2B53"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-10-09  10:59:10
ComboFix-quarantined-files.txt  2010-10-09 08:59
ComboFix2.txt  2010-10-07 19:56

Vor Suchlauf: 8.120.848.384 Bytes frei
Nach Suchlauf: 7.898.255.360 Bytes frei

- - End Of File - - 1FF3D2298BE147E5F8DD4E27B59D53FB

--- --- ---

cosinus · 09.10.2010, 17:58

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

chogo · 09.10.2010, 19:49

Da der Download von OSAM momentan nicht geht (ist offline), hab ich mla nur GMER und MBR-Check ausgeführt. Morgen probeir ich nochmal, ob ich OSAM runterladen kann.

Hier der log von MBRCheck (der log von GMER brauche ich nicht zu posten?:

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Professional
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: Studio 1535
Logical Drives Mask: 0x0002001c

Kernel Drivers (total 215):
0x83011000 \SystemRoot\system32\ntkrnlpa.exe
0x83421000 \SystemRoot\system32\halmacpi.dll
0x80BAE000 \SystemRoot\system32\kdcom.dll
0x83610000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x83688000 \SystemRoot\system32\PSHED.dll
0x83699000 \SystemRoot\system32\BOOTVID.dll
0x836A1000 \SystemRoot\system32\CLFS.SYS
0x836E3000 \SystemRoot\system32\CI.dll
0x8378E000 \SystemRoot\system32\drivers\Wdf01000.sys
0x83600000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x83C03000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x83C4B000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x83C54000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x83C5C000 \SystemRoot\system32\DRIVERS\pci.sys
0x83C86000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x83C91000 \SystemRoot\System32\drivers\partmgr.sys
0x83CA2000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x83CAA000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x83CB5000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x83CC5000 \SystemRoot\System32\drivers\volmgrx.sys
0x83D10000 \SystemRoot\system32\DRIVERS\rramdisk.sys
0x83D18000 \SystemRoot\System32\drivers\mountmgr.sys
0x83D2E000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x83DF6000 \SystemRoot\system32\DRIVERS\atapi.sys
0x83E39000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x83E5C000 \SystemRoot\system32\DRIVERS\msahci.sys
0x83E66000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x83E74000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x83E7D000 \SystemRoot\system32\drivers\fltmgr.sys
0x83EB1000 \SystemRoot\system32\drivers\fileinfo.sys
0x83EC2000 \SystemRoot\System32\Drivers\Ntfs.sys
0x83E00000 \SystemRoot\System32\Drivers\msrpc.sys
0x8CC2E000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8CC41000 \SystemRoot\System32\Drivers\cng.sys
0x8CC9E000 \SystemRoot\System32\drivers\pcw.sys
0x8CCAC000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8CCB5000 \SystemRoot\system32\drivers\ndis.sys
0x8CD6C000 \SystemRoot\system32\drivers\NETIO.SYS
0x8CDAA000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8CE32000 \SystemRoot\System32\drivers\tcpip.sys
0x8CF7B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8CFAC000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x8CFB5000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8CFF4000 \SystemRoot\System32\Drivers\spldr.sys
0x8CE00000 \SystemRoot\System32\drivers\rdyboost.sys
0x8CDCF000 \SystemRoot\System32\Drivers\mup.sys
0x8CDDF000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8D009000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8D03B000 \SystemRoot\system32\DRIVERS\disk.sys
0x8D04C000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x8D157000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8D176000 \SystemRoot\system32\DRIVERS\mozy.sys
0x8D189000 \SystemRoot\System32\Drivers\Null.SYS
0x8D190000 \SystemRoot\System32\Drivers\Beep.SYS
0x8D197000 \SystemRoot\System32\drivers\vga.sys
0x8D1A3000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8D1C4000 \SystemRoot\System32\drivers\watchdog.sys
0x8D1D1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8D1D9000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8D1E1000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8D1E9000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8CDE7000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8CC00000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8D1F4000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x92218000 \SystemRoot\system32\drivers\afd.sys
0x92272000 \SystemRoot\System32\DRIVERS\netbt.sys
0x922A4000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x922AB000 \SystemRoot\system32\DRIVERS\pacer.sys
0x922CA000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x922DB000 \SystemRoot\system32\DRIVERS\vpcnfltr.sys
0x922EB000 \SystemRoot\system32\DRIVERS\netbios.sys
0x922F9000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9230C000 \SystemRoot\system32\drivers\vpcvmm.sys
0x92353000 \SystemRoot\system32\DRIVERS\termdd.sys
0x92363000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x92369000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x923AA000 \SystemRoot\system32\drivers\nsiproxy.sys
0x923B4000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x923BE000 \SystemRoot\System32\drivers\discache.sys
0x9261E000 \SystemRoot\system32\drivers\csc.sys
0x92682000 \SystemRoot\System32\Drivers\dfsc.sys
0x9269A000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x926A8000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x926CA000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x926CC000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x93021000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x93536000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x926ED000 \SystemRoot\System32\drivers\dxgmms1.sys
0x93000000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x935ED000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x92726000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x92771000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x96832000 \SystemRoot\system32\DRIVERS\bcmwl6.sys
0x96A99000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x96AA3000 \SystemRoot\system32\DRIVERS\k57nd60x.sys
0x96ADF000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x96AEF000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x96B03000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x96B1C000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0x96B2D000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x96B41000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x96B93000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x96BAB000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
0x96BD8000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x92780000 \SystemRoot\system32\DRIVERS\itecir.sys
0x96BE5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x96BF2000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x96BF6000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x96800000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x96812000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x927D8000 \SystemRoot\system32\DRIVERS\dne2000.sys
0x9681F000 \SystemRoot\System32\Drivers\x10hid.sys
0x92600000 \SystemRoot\System32\Drivers\HIDCLASS.SYS
0x96821000 \SystemRoot\System32\Drivers\HIDPARSE.SYS
0x923CA000 \SystemRoot\system32\drivers\tbhsd.sys
0x82013000 \SystemRoot\system32\drivers\portcls.sys
0x82042000 \SystemRoot\system32\drivers\drmk.sys
0x8205B000 \SystemRoot\system32\drivers\ks.sys
0x8208F000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x820A1000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x820B9000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x820C4000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x820E6000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x820FE000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x82115000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8212C000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x82136000 \SystemRoot\system32\DRIVERS\rrnetcap.sys
0x82140000 \SystemRoot\system32\DRIVERS\swenum.sys
0x82142000 \SystemRoot\system32\DRIVERS\circlass.sys
0x82150000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8215E000 \SystemRoot\system32\DRIVERS\vpcusb.sys
0x82176000 \SystemRoot\system32\DRIVERS\usbrpm.sys
0x82183000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x82185000 \SystemRoot\system32\DRIVERS\vpchbus.sys
0x821BB000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x82000000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x923D6000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8222A000 \SystemRoot\system32\drivers\HdAudio.sys
0x8227A000 \SystemRoot\system32\DRIVERS\hidir.sys
0x82289000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x82540000 \SystemRoot\System32\win32k.sys
0x82294000 \SystemRoot\System32\drivers\Dxapi.sys
0x8229E000 \SystemRoot\System32\Drivers\fastfat.SYS
0x822C8000 \SystemRoot\System32\Drivers\crashdmp.sys
0x822D5000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x8239D000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x823AE000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8D071000 \SystemRoot\system32\DRIVERS\OA001Vid.sys
0x823C5000 \SystemRoot\system32\DRIVERS\OA001Ufd.sys
0x823E6000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x827A0000 \SystemRoot\System32\TSDDD.dll
0x827D0000 \SystemRoot\System32\cdd.dll
0x82200000 \SystemRoot\system32\drivers\luafv.sys
0x923E7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8D0B6000 \SystemRoot\system32\drivers\WudfPf.sys
0x92200000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8D0D0000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8D116000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8D126000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9D63A000 \SystemRoot\system32\drivers\HTTP.sys
0x9D6C8000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9D6E1000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9D6F3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9D716000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9D751000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9D76C000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
0x9FC08000 \SystemRoot\system32\drivers\peauth.sys
0x9FC9F000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9FCA9000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9FCCA000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9FCD7000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9FD26000 \SystemRoot\System32\DRIVERS\srv.sys
0x9FD77000 \SystemRoot\system32\drivers\mrxdav.sys
0xB3079000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xB30A4000 \SystemRoot\system32\DRIVERS\monitor.sys
0xB30C6000 \??\C:\Users\ich\AppData\Local\Temp\pxldapog.sys
0x776D0000 \Windows\System32\ntdll.dll
0x47FE0000 \Windows\System32\smss.exe
0x77910000 \Windows\System32\apisetschema.dll
0x00020000 \Windows\System32\autochk.exe
0x778F0000 \Windows\System32\normaliz.dll
0x77840000 \Windows\System32\msvcrt.dll
0x77630000 \Windows\System32\advapi32.dll
0x77550000 \Windows\System32\kernel32.dll
0x77500000 \Windows\System32\gdi32.dll
0x773C0000 \Windows\System32\urlmon.dll
0x77330000 \Windows\System32\clbcatq.dll
0x77280000 \Windows\System32\rpcrt4.dll
0x77120000 \Windows\System32\ole32.dll
0x77050000 \Windows\System32\msctf.dll
0x76FF0000 \Windows\System32\shlwapi.dll
0x76EF0000 \Windows\System32\wininet.dll
0x76E20000 \Windows\System32\user32.dll
0x76DD0000 \Windows\System32\Wldap32.dll
0x77810000 \Windows\System32\imagehlp.dll
0x76DC0000 \Windows\System32\nsi.dll
0x76BC0000 \Windows\System32\iertutil.dll
0x75F70000 \Windows\System32\shell32.dll
0x75EF0000 \Windows\System32\comdlg32.dll
0x75E90000 \Windows\System32\difxapi.dll
0x75CF0000 \Windows\System32\setupapi.dll
0x75CB0000 \Windows\System32\ws2_32.dll
0x75C90000 \Windows\System32\imm32.dll
0x75C80000 \Windows\System32\psapi.dll
0x75C60000 \Windows\System32\sechost.dll
0x75BC0000 \Windows\System32\usp10.dll
0x75BB0000 \Windows\System32\lpk.dll
0x75B20000 \Windows\System32\oleaut32.dll
0x75AD0000 \Windows\System32\KernelBase.dll
0x75AB0000 \Windows\System32\devobj.dll
0x75A80000 \Windows\System32\cfgmgr32.dll
0x75A50000 \Windows\System32\wintrust.dll
0x759C0000 \Windows\System32\comctl32.dll
0x758A0000 \Windows\System32\crypt32.dll
0x75890000 \Windows\System32\msasn1.dll

Processes (total 54):
0 System Idle Process
4 System
296 C:\Windows\System32\smss.exe
420 csrss.exe
480 csrss.exe
488 C:\Windows\System32\wininit.exe
556 C:\Windows\System32\winlogon.exe
568 C:\Windows\System32\services.exe
592 C:\Windows\System32\lsass.exe
604 C:\Windows\System32\lsm.exe
704 C:\Windows\System32\svchost.exe
804 C:\Windows\System32\svchost.exe
884 C:\Windows\System32\atiesrxx.exe
936 C:\Windows\System32\svchost.exe
976 C:\Windows\System32\svchost.exe
1008 C:\Windows\System32\svchost.exe
1160 C:\Windows\System32\svchost.exe
1276 C:\Windows\System32\svchost.exe
1368 C:\Windows\System32\atieclxx.exe
1504 C:\Windows\System32\spoolsv.exe
1540 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1588 C:\Windows\System32\svchost.exe
1704 C:\Windows\System32\taskhost.exe
1804 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1860 C:\Program Files\Bluetooth Software\bin\btwdins.exe
1908 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
1968 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1984 C:\Windows\System32\conhost.exe
324 C:\Windows\System32\svchost.exe
596 C:\Windows\System32\svchost.exe
1884 C:\Program Files\Wuala Dokan\mounter.exe
1640 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
2356 C:\Windows\System32\dwm.exe
2364 C:\Windows\explorer.exe
2716 C:\Windows\System32\svchost.exe
3040 C:\Program Files\DellTPad\Apoint.exe
3060 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3236 C:\Program Files\DellTPad\ApMsgFwd.exe
3272 C:\Program Files\DellTPad\ApntEx.exe
3304 C:\Program Files\DellTPad\hidfind.exe
3316 C:\Windows\System32\conhost.exe
3328 C:\Program Files\Free Download Manager\fdm.exe
3396 C:\Windows\System32\SearchIndexer.exe
3756 C:\Program Files\Windows Media Player\wmpnetwk.exe
3008 C:\Windows\System32\svchost.exe
4044 C:\Program Files\MozyHome\mozybackup.exe
1096 C:\Program Files\MozyHome\mozybackup.exe
3872 C:\Windows\System32\taskeng.exe
1632 C:\Program Files\MozyHome\mozystat.exe
3052 C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
3016 C:\Program Files\Duden Korrektor\DKCore.exe
1728 C:\Users\ich\Desktop\MFTools\gmer.exe
4964 C:\Users\ich\Desktop\MBRCheck.exe
5432 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`88e00000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`08e00000 (NTFS)
\\.\R: --> error 1

PhysicalDrive0 Model Number: ST9160411ASG, Rev: DE13

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Done!

cosinus · 09.10.2010, 20:54

Der MBR ist ok. OSAM hab ich mal vor einiger Zeit bei file-upload hochgeladen => File-Upload.net - osam.zip
(für den Fall, dass der Herstellerlink tot ist)

chogo · 10.10.2010, 10:32

OSAM konnte sich nicht zur online-Datenbank verbinden. Den log hab ich hier hochgeladen: www.poolimate.de\osam.html

Den GMER-log gibts hier:
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-10 10:30:06
Windows 6.1.7600 
Running: gmer.exe; Driver: C:\Users\ich\AppData\Local\Temp\pxldapog.sys


---- System - GMER 1.0.15 ----

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         83437AF8
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         83437104
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         834373F4
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         8341F634
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         8341F898
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         834371DC
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         83437958
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         834376F8
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         83437F2C
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)         834381A8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                  83050599 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                           83074F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                         section is writeable [0x95A1B000, 0x2D5378, 0xE8000020]
.text           peauth.sys                                                                                       9F23CC9D 28 Bytes  [4F, 10, 52, BA, 34, 6A, 3A, ...]
.text           peauth.sys                                                                                       9F23CCC1 28 Bytes  [4F, 10, 52, BA, 34, 6A, 3A, ...]
PAGE            peauth.sys                                                                                       9F242B9B 15 Bytes  [E7, B0, C3, 2B, 0A, 20, 18, ...]
PAGE            peauth.sys                                                                                       9F242BAB 56 Bytes  [11, 6A, 8C, 94, 75, 5A, 20, ...]
PAGE            peauth.sys                                                                                       9F242BEC 111 Bytes  [D0, DD, FD, 0A, 15, A4, BA, ...]
PAGE            ...                                                                                              

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                           mozy.sys (Mozy Change Monitor Filter Driver/Mozy, Inc.)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000007a                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                         fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                         mozy.sys (Mozy Change Monitor Filter Driver/Mozy, Inc.)

---- Threads - GMER 1.0.15 ----

Thread          System [4:5124]                                                                                  B6E64F2E

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002268ddc115                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002268ddc115@001e8ddd21c3         0xB6 0x57 0x7A 0x03 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Linkage@Export                          ???p????????????????????t???????????????????????????????????????????????????????3D-Stereo??????????????????|????? ???????o?????p????????????????:?C??????T??? ???????p???????????o????&???(????? ???????????? ???????p?????p???????????????????????????B????? ???????p?????p?????????????????????????s??? ???????p???????????p?,???????????? ????????????????????????????p???p??? ???????p???????????p?,???????????? ???????????????????????????RpcSs???????? ???????p???????????p?,???????????? ????????????????????????????????????????????p??? ???????p???????????p?,???????????? ???????????????????????????? ???????p???????????p?,???????????? ??????????????????????????????p???p???p???p???p???p????????? ???????p???????????p?,???????????? ???????????? ???????o?????p?????p????????$???D??????v????P??p?????????e????@%SystemRoot%\System32\bthserv.dll,-101???????????????????????????Z??p????????h?????%SystemRoot%\system32\svchost.exe -k bthsvcs????????????????t??????? ?????????????P??p?????????n????@%SystemRoot%\System32\bthserv.dll,-102
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002268ddc115 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002268ddc115@001e8ddd21c3             0xB6 0x57 0x7A 0x03 ...
Reg             HKLM\SYSTEM\ControlSet002\services\LanmanWorkstation\Linkage@Export                              ???l?t???????????????????????????6???6???g?g?f???????????r?????sot???????0??????s?????N????????????D?????????????????????/???????/???n?n?/???????????????????h?h?h???g?????g???g????? Z??????v??????????{72631e54-78a4-11d0-bcf7-00aa00b7b32a}\0002??7??? ?????????????.?????_?_?_?_X`?`????????????????Channel 0???? ???????g???????????g?-??????$???????????????sedi???g??? ???????g???????????g?1?????????????????????????g?????????????g????? ???????g?????g???????1?????????????????????g?gos??t???? ???????g???????????g?1?????????????????????g???????????????????????4???4???g?g????? ???????g?????g???????1????????????????????? ???????g???????????g?1?????????????????????????????/??????????????????????Microsoft???PCI-Bus??5?????g????? ???????g?????g???????1????????????????????MBRES????g?g?g??????????????????? ???????g???????????g?1?????????????????????????g??????????? ???g?????????????????g????? ???????g?????g???????1????????????????????? ???????g???????????g?1?????????????????????????g???????e???g?gos???????????y??iv???g?gBu?
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                            
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODLED3.00.02.01WSSV                       0305AD5990F991870ACD67DE1B6F4B7E4EB12EB32A8B453140F7D5D63FCEEC7EC854FEBD8B790417EDEE7C8B4218F7FD4FF8955EB624841AEAD38D29CF2CA4DB36C8049EC69CDF6D8A4EA12836065475D56090FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452A9C6AECB7A5D1407A9C6AECB7A5D14071572A7D66D51C192836E7B97AE5C9BD8749BADBF3D44A40EB6C3A05D5A090AA3850E764B2B138DDC780B5FC8F86EDE481796FA5F844B7F0CEB8BC11369E2B983B5BE09E78D93A5AB9ED18D3C27E3456084D413E2CEC22467583694A11F24114B860400F06A69E58DECF8850EFA99DA1D6FDE786667696FA70944BAC4F11260B0F9733DDA80FD2D8382498B94993FB0ECAE55EF3AFAD3C3C62CC71BE7B747F8D9B834E7D0EE1360819F21A7550D58DA2F396882621C6D863692E7DE2DAAB2B3E31003ECB23A38E57128F0270C413C723C30DE7C984271A156B660F4EA6C14E7DE6E30F911C9D52AAFA43E192A8898935E5214EFC8C8EF037F310110A8FE80764EE6A08133EB261C0FC3A252D0196ADF510874B293EA4E1B7C41AC25A6CAE4C12AB3CA3C1350B83052D54B6AD80A877C495A845CCD4E45E00DC95AEE541A7CAF5F2F3CA5E00BEFDCB34F78BD4EDB1710EB7658CB7FF662CC6352156B581

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                            sector 09: copy of MBR

---- EOF - GMER 1.0.15 ----

--- --- ---

Ich hoffe das scheint dann alles OK so und ich kann ein DICKES

sagen.

cosinus · 10.10.2010, 19:29

An das Osam Log komm ich so nicht ran. Poste es bitte hier im Anhang oder im Beitragtext. Das Log solltest Du eigentlich auch als .txt und nicht .html abspeichern!

chogo · 10.10.2010, 19:39

Sorry. Ich hatte nicht gesehen, dass es da noch andere Optionen zum Speichern gab.

Hier der log:
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:35:30 on 10.10.2010

OS: Windows 7  (Build 7600), 32-bit
Default Browser: Avant Force Avant Browser 11.7.0.46

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\Windows\System32\Drivers\usbaapl.sys
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\ich\AppData\Local\Temp\catchme.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys
"IDT High Definition Audio CODEC" (STHDA) - ? - C:\Windows\System32\DRIVERS\stwrt.sys  (File not found)
"Initio Driver for USB Default Controller" (ivusb) - "Initio Corporation" - C:\Windows\System32\DRIVERS\ivusb.sys
"mozyFilter" (mozyFilter) - "Mozy, Inc." - C:\Windows\System32\DRIVERS\mozy.sys
"pxldapog" (pxldapog) - ? - C:\Users\ich\AppData\Local\Temp\pxldapog.sys  (Hidden registry entry, rootkit activity | File not found)
"Ramdisk Driver" (RRamdisk) - "gavotte" - C:\Windows\System32\DRIVERS\rramdisk.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"WD SCSI Pass Thru driver" (WDC_SAM) - "Western Digital Technologies" - C:\Windows\System32\DRIVERS\wdcsam.sys
"wDokan" (wDokan) - ? - C:\Windows\system32\drivers\wdokan.sys  (File not found)
"WIDCOMM USB Bluetooth Driver in DFU State" (DFUBTUSB) - ? - C:\Windows\System32\Drivers\frmupgr.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{9C450606-ED24-4958-92BA-B8940C99D441} "PixiePack Codec Pack 1.1.400.0" - ? - C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Program Files\Audible\Bin\AudibleExt.dll
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - C:\Program Files\PDF X-Change Viewer\Shell Extensions\XCShInfo.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Program Files\Audible\Bin\AudibleExt.dll
{1AC77AE9-9EC6-405A-9F9B-C06AB3C10B71} "CShellStitcher Object" - "Microsoft Corporation" - C:\tools\Image Composite Editor\ShellExtension.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Windows\system32\btncopy.dll
{b6b69199-aca1-4cc4-a7e3-3dc9aec7b947} "MozyHome Online Backup" - "Mozy, Inc." - C:\Program Files\MozyHome\mozyshell.dll
{b32a6748-f273-4546-b60a-3c5adc239de5} "MozyHome Online Backup Shell Extensions" - "Mozy, Inc." - C:\Program Files\MozyHome\mozyshell.dll
{747E722C-CB46-4a9d-BDFE-192AAD5099B1} "MozyHome Online Backup Shell Extensions Icon Overlay 2" - "Mozy, Inc." - C:\Program Files\MozyHome\mozyshell.dll
{EE6F5A00-7898-40f7-AB77-51FF9D6DEB20} "MozyHome Online Backup Shell Extensions Icon Overlay 3" - "Mozy, Inc." - C:\Program Files\MozyHome\mozyshell.dll
{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - C:\Program Files\PDF X-Change Viewer\Shell Extensions\XCShInfo.dll
{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - C:\Program Files\PDF X-Change Viewer\Shell Extensions\XCShInfo.dll
{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - C:\Program Files\PDF X-Change Viewer\Shell Extensions\XCShInfo.dll
{A4D78B20-6E05-1069-8758-4E73FD83DEAD} "QCopy" - ? - dropcpyr.dll  (File not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{F2185E5D-720E-4956-90D9-75F6AC141575} "SidebarIconHandler Class" - "Idea2" - C:\Program Files\Desktop Sidebar\sbhelp.dll
XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Program Files\Bluetooth Software\btsendto_ie.htm
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
{45AD732C-2CE2-4666-B366-B2214AD57A49} "Subscribe in Desktop Sidebar" - "Idea2" - C:\Program Files\Desktop Sidebar\sbhelp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{CC59E0F9-7E43-44FA-9FAA-8377850BF205} "FDMIECookiesBHO Class" - ? - C:\Program Files\Free Download Manager\iefdm2.dll
{45AD732C-2CE2-4666-B366-B2214AD57A49} "Idea2 SidebarBrowserMonitor Class" - "Idea2" - C:\Program Files\Desktop Sidebar\sbhelp.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Persbackup.lnk" - "J. Rathlev, IEAP, Uni-Kiel" - C:\Program Files\Personal Backup\Persbackup.exe  (Shortcut exists | File exists)
"Spamihilator.lnk" - "Michel Krämer" - C:\Program Files\Spamihilator\spamihilator.exe  (Shortcut exists | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Free Download Manager" - "FreeDownloadManager.ORG" - C:\Program Files\Free Download Manager\fdm.exe -autorun
"MirandaIM" - " " - "C:\Program Files\Miranda IM\miranda32.exe" "C:\Program Files\Miranda IM\profiles\chogo"
"Rainlendar2" - ? - C:\Program Files\Rainlendar2\Rainlendar2.exe
"uTorrent" - "BitTorrent, Inc." - "C:\Program Files\uTorrent\uTorrent.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"WDokanNP" - ? - C:\Windows\System32\wdokannp.dll  (File not found)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"bizhub 501/421/361PCL Language Monitor" - "KONICA MINOLTA BUSINESS TECHNOLOGIES, INC." - C:\Windows\system32\KOBZEJ_L.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\Bluetooth Software\bin\btwdins.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
"FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
"Google Updater Service" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"MotoConnect Service" (MotoConnect Service) - ? - C:\Program Files\Motorola\MotoConnectService\MotoConnectService.exe  (File found, but it contains no detailed information)
"MozyHome Backup Service" (mozybackup) - "Mozy, Inc." - C:\Program Files\MozyHome\mozybackup.exe
"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
"wDokanMounter" (wDokanMounter) - ? - C:\Program Files\Wuala Dokan\mounter.exe
"X10 Device Network Service" (x10nets) - "X10" - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

09.10.2010, 20:54	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht? Der MBR ist ok. OSAM hab ich mal vor einiger Zeit bei file-upload hochgeladen => File-Upload.net - osam.zip (für den Fall, dass der Herstellerlink tot ist) __________________ Logfiles bitte immer in CODE-Tags posten

10.10.2010, 19:29	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht? An das Osam Log komm ich so nicht ran. Poste es bitte hier im Anhang oder im Beitragtext. Das Log solltest Du eigentlich auch als .txt und nicht .html abspeichern! __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht?

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht?