Verschiedene Trojaner in C:\System Volume Information\_restore

morasul · 31.12.2010, 19:51

Hallo ich habe folgendes Problem. Und zwar hat mein AntiVir vor kurzem einen Trojaner im Wiederhersetllungsordner von Windows aufgespürt. Ich habe dann mal Malwarebytes' Anti-Malware durchlaufen lassen, was dann auch noch verschiedenen andere Trojaner dort endeckt hat (alle in dem Ordner). Ich habe daraufhin die Systemwiederherstellung ausgeschaltet und den Rechner neu gestartet, daraufhin war der Ordner weg und Malewarebyte hat auch nichts mehr aufgestöbert.

Ich würde euch trotzdem bitten dass ihr mal einen Blick auf mein hijack logfile werfen könntet, denn ich traue dem Frieden noch nicht so ganz.

Und meine zweite Frage können die Trojaner aus diesem Ordner heraus Schaden angerichtet haben oder wäre es erst im Falle einer Systemwiederherstellung zum Problem gekommen?

Das sind die Trojaner die AntiVir gefunden hat bevir ich den Ordner gelöscht habe.

Zitat:

Die Datei 'C:\System Volume Information\_restore{C9708C09-B2C3-4B11-9FC9-AB396AFEF85E}\RP39\A0044144.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].

Information\_restore{C9708C09-B2C3-4B11-9FC9-AB396AFEF85E}\RP40\A0044329.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Code.PS.9' [trojan]

In der Datei 'C:\System Volume Information\_restore{C9708C09-B2C3-4B11-9FC9-AB396AFEF85E}\RP40\A0044328.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.htfx' [trojan]

Information\_restore{C9708C09-B2C3-4B11-9FC9-AB396AFEF85E}\RP40\A0045100.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/FraudPack.kvb.48'

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:44:52, on 31.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox 4.0 Beta 7\firefox.exe
C:\Programme\Mozilla Firefox 4.0 Beta 7\plugin-container.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [D-Link AirPlus G DWL-G510] C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NiwradSoft Welcome] C:\WINDOWS\NiwradSoft Shell Pack\Tools\NS Welcome.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7905 bytes

cosinus · 02.01.2011, 11:57

Zitat:

Ich habe dann mal Malwarebytes' Anti-Malware durchlaufen lassen, was dann auch noch verschiedenen andere Trojaner dort endeckt hat

Bitte alle Logs davon posten!

morasul · 02.01.2011, 18:56

Hm tut mir leid aber ich habe. als ich gesehen hatte, dass die alle in dem Wiederherstellungsordner liegen den Suchlauf abgebrochen und erstmal den Ordner eliminiert. Habe jetzt nur Logfiles da die sagen dass nichts gefunden wurde.

cosinus · 02.01.2011, 19:38

Öfffne Malwarebytes und geh in den Reiter Logdateien. Alle Logdateien posten, die da aufgelistet sind.

morasul · 03.01.2011, 19:47

so hier die logs, aber wie gesagt die sind alle nachdem ich die systemwiederherstellung deaktiviert habe.

cosinus · 03.01.2011, 21:07

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

morasul · 04.01.2011, 17:25

Ok habe ich gemacht hier sind die Logs.

cosinus · 04.01.2011, 20:13

Ziemlich unauffällig.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

morasul · 04.01.2011, 21:49

So hier ist das Log, er scheint auch was gefunden zu haben, er hat zumindest bei der Prüfung gesagt dass er ein Rootkit gefunden hat und jetzt neu startet.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-04.01 - Administrator 04.01.2011  21:37:38.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1574 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\INSTALL.LOG
c:\programme\WinPCap\NetMonInstaller.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\programme\WinPCap\Uninstall.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2010-12-04 bis 2011-01-04  ))))))))))))))))))))))))))))))
.

2011-01-04 20:02 . 2011-01-04 20:02	--------	d-----w-	c:\programme\CCleaner
2011-01-01 23:57 . 2011-01-01 23:57	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecuROM
2010-12-31 14:40 . 2010-12-31 14:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-12-31 14:40 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-31 14:39 . 2010-12-31 14:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-31 14:39 . 2010-12-31 14:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-31 14:39 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-29 16:39 . 2010-12-29 16:39	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.minecraft
2010-12-28 21:29 . 2010-12-28 21:29	--------	d-----w-	c:\programme\ASIO4ALL v2
2010-12-28 21:07 . 2010-12-28 21:07	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DarkWave Studio
2010-12-28 21:03 . 2010-12-28 21:03	--------	d-----w-	c:\programme\ExperimentalScene
2010-12-06 19:47 . 2010-12-11 11:38	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2010-12-06 19:46 . 2010-12-06 19:46	--------	d-----w-	c:\programme\VideoLAN

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-26 20:50 . 2010-11-13 13:27	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-04 23:02 . 2004-08-03 22:57	218624	----a-w-	c:\windows\system32\uxtheme.dll
2010-11-28 18:07 . 2010-11-13 13:56	107888	----a-w-	c:\windows\system32\CmdLineExt.dll
2010-11-26 16:27 . 2010-11-14 14:30	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2010-11-26 14:25 . 2010-11-13 13:27	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 15:20 . 2010-11-18 15:20	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-11-18 15:20 . 2010-11-18 15:20	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-10-22 06:23 . 2010-11-18 16:31	61440	----a-w-	c:\windows\system32\OpenCL.dll
2010-10-22 06:23 . 2010-11-18 16:31	14532608	----a-w-	c:\windows\system32\nvoglnt.dll
2010-10-22 06:23 . 2010-11-18 16:31	888424	----a-w-	c:\windows\system32\nvdispco32.dll
2010-10-22 06:23 . 2010-11-18 16:31	888424	----a-w-	c:\windows\system32\nvdispco32(5).dll
2010-10-22 06:23 . 2010-11-18 16:31	888424	----a-w-	c:\windows\system32\nvdispco32(4).dll
2010-10-22 06:23 . 2010-11-18 16:31	888424	----a-w-	c:\windows\system32\nvdispco32(3).dll
2010-10-22 06:23 . 2010-11-18 16:31	888424	----a-w-	c:\windows\system32\nvdispco32(2).dll
2010-10-22 06:23 . 2010-11-18 16:31	813672	----a-w-	c:\windows\system32\nvgenco32.dll
2010-10-22 06:23 . 2010-11-18 16:31	813672	----a-w-	c:\windows\system32\nvgenco32(5).dll
2010-10-22 06:23 . 2010-11-18 16:31	813672	----a-w-	c:\windows\system32\nvgenco32(4).dll
2010-10-22 06:23 . 2010-11-18 16:31	813672	----a-w-	c:\windows\system32\nvgenco32(3).dll
2010-10-22 06:23 . 2010-11-18 16:31	813672	----a-w-	c:\windows\system32\nvgenco32(2).dll
2010-10-22 06:23 . 2010-11-18 16:31	4882432	----a-w-	c:\windows\system32\nvcuda.dll
2010-10-22 06:23 . 2010-11-18 16:31	2932840	----a-w-	c:\windows\system32\nvcuvid.dll
2010-10-22 06:23 . 2010-11-18 16:31	2666600	----a-w-	c:\windows\system32\nvcuvenc.dll
2010-10-22 06:23 . 2010-11-18 16:31	1462272	----a-w-	c:\windows\system32\nvapi.dll
2010-10-22 06:23 . 2010-11-18 16:31	13012992	----a-w-	c:\windows\system32\nvcompiler.dll
2010-10-22 06:23 . 2006-02-13 13:05	9623680	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2010-10-22 06:23 . 2006-02-13 13:05	6359552	----a-w-	c:\windows\system32\nv4_disp.dll
2010-10-16 11:05 . 2010-10-16 11:05	81920	----a-w-	c:\windows\system32\nvwddi.dll
2010-10-16 11:05 . 2010-10-16 11:05	335872	----a-w-	c:\windows\system32\nvrsar.dll
2010-10-16 11:05 . 2010-10-16 11:05	331776	----a-w-	c:\windows\system32\nvrshe.dll
2010-10-16 11:05 . 2010-10-16 11:05	286720	----a-w-	c:\windows\system32\nvrsfr.dll
2010-10-16 11:05 . 2010-10-16 11:05	282624	----a-w-	c:\windows\system32\nvrses.dll
2010-10-16 11:05 . 2010-10-16 11:05	282624	----a-w-	c:\windows\system32\nvrsel.dll
2010-10-16 11:05 . 2010-10-16 11:05	278528	----a-w-	c:\windows\system32\nvrsde.dll
2010-10-16 11:05 . 2010-10-16 11:05	274432	----a-w-	c:\windows\system32\nvrsnl.dll
2010-10-16 11:05 . 2010-10-16 11:05	274432	----a-w-	c:\windows\system32\nvrsesm.dll
2010-10-16 11:05 . 2010-10-16 11:05	270336	----a-w-	c:\windows\system32\nvrsru.dll
2010-10-16 11:05 . 2010-10-16 11:05	270336	----a-w-	c:\windows\system32\nvrsptb.dll
2010-10-16 11:05 . 2010-10-16 11:05	266240	----a-w-	c:\windows\system32\nvrsko.dll
2010-10-16 11:05 . 2010-10-16 11:05	262144	----a-w-	c:\windows\system32\nvrshu.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrstr.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrssl.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrssk.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrsth.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrssv.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrsda.dll
2010-10-16 11:05 . 2010-10-16 11:05	249856	----a-w-	c:\windows\system32\nvrsfi.dll
2010-10-16 11:05 . 2010-10-16 11:05	249856	----a-w-	c:\windows\system32\nvrseng.dll
2010-10-16 11:05 . 2010-10-16 11:05	249856	----a-w-	c:\windows\system32\nvrscs.dll
2010-10-16 11:05 . 2010-10-16 11:05	229376	----a-w-	c:\windows\system32\nvrszhc.dll
2010-10-16 11:05 . 2010-10-16 11:05	126976	----a-w-	c:\windows\system32\nvrszht.dll
2010-10-16 11:05 . 2010-10-16 11:05	282624	----a-w-	c:\windows\system32\nvrsit.dll
2010-10-16 11:05 . 2010-10-16 11:05	277608	----a-w-	c:\windows\system32\nvmccs.dll
2010-10-16 11:05 . 2010-10-16 11:05	274432	----a-w-	c:\windows\system32\nvrspt.dll
2010-10-16 11:05 . 2010-10-16 11:05	270336	----a-w-	c:\windows\system32\nvrsja.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrspl.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrsno.dll
2010-10-16 11:05 . 2010-10-16 11:05	156776	----a-w-	c:\windows\system32\nvsvc32.exe
2010-10-16 11:05 . 2010-10-16 11:05	145000	----a-w-	c:\windows\system32\nvcolor.exe
2010-10-16 11:05 . 2010-10-16 11:05	13851752	----a-w-	c:\windows\system32\nvcpl.dll
2010-10-16 11:05 . 2010-10-16 11:05	110696	----a-w-	c:\windows\system32\nvmctray.dll
2010-10-14 00:36 . 2010-10-14 00:36	15451288	----a-w-	c:\windows\system32\xlive.dll
2010-10-14 00:36 . 2010-10-14 00:36	13642904	----a-w-	c:\windows\system32\xlivefnt.dll
2010-10-07 11:23 . 2010-10-07 11:23	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2010-10-07 11:23 . 2010-10-07 11:23	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-10-07 11:23 . 2010-10-07 11:23	107808	----a-w-	c:\windows\system32\dns-sd.exe
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2007-12-17 12:43	27648	--sh--w-	c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-17 281768]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"D-Link AirPlus G DWL-G510"="c:\programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe" [2008-10-21 1556480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Games\\cs\\hl.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"d:\\Games\\Call of Duty 2\\CoD2MP_s.exe"=
"d:\\Games\\Far_Cry_2-Razor1911\\Far Cry 2\\bin\\FC2Editor.exe"=
"d:\\Games\\GTA4\\Rockstar Games Social Club\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Games\\Far_Cry_2-Razor1911\\Far Cry 2\\bin\\FarCry2.exe"=
"d:\\Games\\Far_Cry_2-Razor1911\\Far Cry 2\\bin\\FC2Launcher.exe"=
"d:\\Games\\Steam\\steamapps\\common\\arcania gothic iv - demo\\Arcania.exe"=
"d:\\Games\\Steam\\steamapps\\morasul_berlin\\team fortress 2\\hl2.exe"=
"d:\\Games\\Steam\\steamapps\\morasul_berlin\\counter-strike source\\hl2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.11.2010 12:22 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.11.2010 14:27 135336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [18.11.2010 18:26 247096]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [26.11.2010 15:25 101904]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [03.12.2010 17:24 136176]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners

2011-01-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-03 16:24]

2011-01-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-03 16:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\33yruqti.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox 4.0 Beta 7\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-WinPcapInst - c:\programme\WinPcap\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-04 21:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1708537768-1801674531-839522115-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7c,4e,ac,8b,a5,73,3a,85,4e,9a,34,aa,87,b5,ab,62,5f,bb,44,1c,9f,6a,9f,
   46,7e,ee,5e,ad,ca,36,a8,e2,e5,6e,8f,b5,c7,29,99,52,4c,39,d8,a6,d2,05,09,aa,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-1708537768-1801674531-839522115-500\Software\SecuROM\License information*]
"datasecu"=hex:e3,69,87,ee,77,63,05,fc,de,c2,18,2a,ce,16,53,e0,15,14,ef,22,a5,
   76,64,86,03,05,8e,19,4b,02,04,b2,1e,af,ec,93,ee,84,1f,b8,f2,b4,9c,83,b3,fa,\
"rkeysecu"=hex:d3,c3,b5,0b,33,2f,16,43,c4,15,d0,04,ec,99,93,16
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1052)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-04  21:44:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-04 20:44

Vor Suchlauf: 8 Verzeichnis(se), 103.944.409.088 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 103.807.897.600 Bytes frei

- - End Of File - - 928C1A0091A4F9F2EB3D77D7E3041B52

--- --- ---

cosinus · 04.01.2011, 22:13

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

morasul · 05.01.2011, 17:36

So hier sind die drei Logs. gestern abend hab ich es zeitlich nicht mehr geschafft deshalb erst jetzt.

Die Log Files kann ich nicht hochladen oder? deshalb poste ich den Inhalt jetzt einfach:

GMER:
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-05 17:26:12
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-1b SAMSUNG_HD103SJ rev.1AJ10001
Running: yydq4ljt.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxliapow.sys


---- System - GMER 1.0.15 ----

SSDT      B87C02C6                                                                                                             ZwCreateKey
SSDT      B87C02BC                                                                                                             ZwCreateThread
SSDT      B87C02CB                                                                                                             ZwDeleteKey
SSDT      B87C02D5                                                                                                             ZwDeleteValueKey
SSDT      sppe.sys                                                                                                             ZwEnumerateKey [0xB7ECDDA4]
SSDT      sppe.sys                                                                                                             ZwEnumerateValueKey [0xB7ECE132]
SSDT      B87C02DA                                                                                                             ZwLoadKey
SSDT      sppe.sys                                                                                                             ZwOpenKey [0xB7EB50C0]
SSDT      B87C02A8                                                                                                             ZwOpenProcess
SSDT      B87C02AD                                                                                                             ZwOpenThread
SSDT      sppe.sys                                                                                                             ZwQueryKey [0xB7ECE20A]
SSDT      sppe.sys                                                                                                             ZwQueryValueKey [0xB7ECE08A]
SSDT      B87C02E4                                                                                                             ZwReplaceKey
SSDT      B87C02DF                                                                                                             ZwRestoreKey
SSDT      B87C02D0                                                                                                             ZwSetValueKey

INT 0x62  ?                                                                                                                    8A3CEBF8
INT 0x63  ?                                                                                                                    8A3CEBF8
INT 0x63  ?                                                                                                                    8A3CEBF8
INT 0x63  ?                                                                                                                    8A3CEBF8
INT 0x73  ?                                                                                                                    8A3CEBF8
INT 0x73  ?                                                                                                                    8A3CEBF8
INT 0x73  ?                                                                                                                    8A17CED8
INT 0x73  ?                                                                                                                    8A3CEBF8
INT 0x83  ?                                                                                                                    8A3CEBF8
INT 0x83  ?                                                                                                                    8A3CEBF8
INT 0x83  ?                                                                                                                    8A3CEBF8
INT 0xB4  ?                                                                                                                    8A17CED8

---- Kernel code sections - GMER 1.0.15 ----

?         sppe.sys                                                                                                             Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                                                                B79378AC 5 Bytes  JMP 8A17C4B8 
.text     C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                             section is writeable [0xB718A000, 0x273B67, 0xE8000020]
.text     ajp1oko8.SYS                                                                                                         B68F0384 1 Byte  [20]
.text     ajp1oko8.SYS                                                                                                         B68F0384 37 Bytes  [20, 00, 00, 68, 00, 00, 00, ...]
.text     ajp1oko8.SYS                                                                                                         B68F03AA 24 Bytes  [00, 00, 20, 00, 00, E0, 00, ...]
.text     ajp1oko8.SYS                                                                                                         B68F03C4 3 Bytes  [00, 00, 00]
.text     ajp1oko8.SYS                                                                                                         B68F03C9 1 Byte  [00]
.text     ...                                                                                                                  

---- User code sections - GMER 1.0.15 ----

.text     C:\WINDOWS\Explorer.EXE[2516] SHELL32.dll!SHFileOperationW                                                           7E7208E4 5 Bytes  JMP 02E71102 C:\Programme\Unlocker\UnlockerHook.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [B7EB6042] sppe.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [B7EB613E] sppe.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B7EB60C0] sppe.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B7EB6800] sppe.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B7EB66D6] sppe.sys
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!KfAcquireSpinLock]                                                 000000AD
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!READ_PORT_UCHAR]                                                   000000D4
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!KeGetCurrentIrql]                                                  000000A2
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!KfRaiseIrql]                                                       000000AF
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!KfLowerIrql]                                                       0000009C
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!HalGetInterruptVector]                                             000000A4
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!HalTranslateBusAddress]                                            00000072
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!KeStallExecutionProcessor]                                         000000C0
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!KfReleaseSpinLock]                                                 000000B7
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                           000000FD
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!READ_PORT_USHORT]                                                  00000093
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          00000026
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  00000036
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[WMILIB.SYS!WmiSystemControl]                                               000000F7
IAT       \SystemRoot\System32\Drivers\ajp1oko8.SYS[WMILIB.SYS!WmiCompleteRequest]                                             000000CC

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                               8A3CD1F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{96381496-C44F-49F7-8407-1181324D10FD}                                             88B941F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{C3F093F4-71B8-4709-9DB3-EFADE7A86E61}                                             88B941F8
Device    \Driver\usbohci \Device\USBPDO-0                                                                                     8A0C81F8
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            8A35D1F8
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                              8A35D1F8
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                                 8A35D1F8
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                                8A35D1F8
Device    \Driver\usbehci \Device\USBPDO-1                                                                                     8A0C41F8
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                               8A3CF1F8
Device    \Driver\sptd \Device\2812113522                                                                                      sppe.sys
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                               8A3CF1F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                         8A0B81F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                          [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort2                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort3                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                          [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort4                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort5                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort6                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort7                                                                                   [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP4T0L0-1b                                                                         [B7E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\Cdrom \Device\CdRom1                                                                                         8A0B81F8
Device    \Driver\Cdrom \Device\CdRom2                                                                                         8A0B81F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                              88B941F8
Device    \Driver\PCI_PNP8522 \Device\0000004a                                                                                 sppe.sys
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                     88B941F8
Device    \Driver\usbohci \Device\USBFDO-0                                                                                     8A0C81F8
Device    \Driver\usbehci \Device\USBFDO-1                                                                                     8A0C41F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    88B911F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          88B911F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                     8A3CF1F8
Device    \Driver\ajp1oko8 \Device\Scsi\ajp1oko81                                                                              89F1C1F8
Device    \Driver\ajp1oko8 \Device\Scsi\ajp1oko81Port8Path0Target0Lun0                                                         89F1C1F8
Device    \FileSystem\Cdfs \Cdfs                                                                                               89EBE500

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0xE5 0x7A 0xC3 0x67 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x0F 0x12 0x89 0x65 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xD4 0x77 0x0D 0x00 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0xE5 0x7A 0xC3 0x67 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x0F 0x12 0x89 0x65 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xD4 0x77 0x0D 0x00 ...

---- EOF - GMER 1.0.15 ----

--- --- ---

OSAM:
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:31:05 on 05.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0b8

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a7vx5wu0" (a7vx5wu0) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\a7vx5wu0.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"ANIO Service" (ANIO) - "Alpha Networks Inc." - C:\WINDOWS\system32\ANIO.SYS
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi.exe\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"GMSIPCI" (GMSIPCI) - ? - H:\INSTALL\GMSIPCI.SYS  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MRXSMB" (MRxSmb) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mrxsmb.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{8BE13461-936F-11D1-A87D-444553540000} "Eraser Shell Extension" - "-" - C:\WINDOWS\system32\erasext.dll
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} "UnlockerShellExtension" - ? - C:\Programme\Unlocker\UnlockerCOM.dll  (File found, but it contains no detailed information)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID Sign-in Helper" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"DAEMON Tools Lite" - "DT Soft Ltd" - "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"amd_dc_opt" - "AMD" - C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
"ANIWZCS2Service" - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"D-Link AirPlus G DWL-G510" - "D-Link" - C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe
"GrooveMonitor" - "Microsoft Corporation" - "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"UnlockerAssistant" - ? - "C:\Programme\Unlocker\UnlockerAssistant.exe"  (File found, but it contains no detailed information)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ANIWZCSd Service" (ANIWZCSdService) - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) - ? - "C:\Programme\WinPcap\rpcapd.exe" -d -f "C:\Programme\WinPcap\rpcapd.ini"  (File not found)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

MBR:

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000019c

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EB4000 spxb.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E6D000 ACPI.sys
0xB7E5C000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E3D000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7E17000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DFF000 atapi.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7DDF000 fltmgr.sys
0xB7DCD000 sr.sys
0xB80F8000 PxHelp20.sys
0xB7DB6000 KSecDD.sys
0xB7D29000 Ntfs.sys
0xB7CFC000 NDIS.sys
0xB7CE2000 Mup.sys
0xB82B8000 \SystemRoot\system32\DRIVERS\processr.sys
0xB82C8000 \SystemRoot\system32\DRIVERS\serial.sys
0xB8580000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB8418000 \SystemRoot\system32\DRIVERS\irsir.sys
0xB8584000 \SystemRoot\system32\DRIVERS\irenum.sys
0xB7921000 \SystemRoot\system32\DRIVERS\parport.sys
0xB8420000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB8428000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB8430000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB78FD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8438000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB82E8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB82F8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB8308000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB78DA000 \SystemRoot\system32\DRIVERS\ks.sys
0xB8440000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB78B2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB8318000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB77AB000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB7758000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xB71E2000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB71CE000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB7169000 \SystemRoot\System32\Drivers\a7vx5wu0.SYS
0xB87B9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8490000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xB8498000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB8128000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB7959000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB6932000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB8138000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB8148000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB6921000 \SystemRoot\system32\DRIVERS\psched.sys
0xB8158000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB84A0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB84A8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB68F1000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB8168000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB85D4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB6893000 \SystemRoot\system32\DRIVERS\update.sys
0xB7941000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB8178000 \SystemRoot\system32\DRIVERS\AmdLLD.sys
0xB8188000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB8198000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB85D6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB67AF000 \SystemRoot\system32\drivers\AtihdXP3.sys
0xB678B000 \SystemRoot\system32\drivers\portcls.sys
0xB81A8000 \SystemRoot\system32\drivers\drmk.sys
0xAA261000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB81C8000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xB85DC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB87C2000 \SystemRoot\System32\Drivers\Null.SYS
0xB85DE000 \SystemRoot\System32\Drivers\Beep.SYS
0xB83A8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB83B0000 \SystemRoot\System32\drivers\vga.sys
0xB85E0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB85E2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83B8000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83C0000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAA259000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA060000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA007000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA9FDF000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA9FB9000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA9F97000 \SystemRoot\System32\drivers\afd.sys
0xB81F8000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB8208000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB83C8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA9F6C000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA9EFC000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8218000 \SystemRoot\System32\Drivers\Fips.SYS
0xA9E36000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB85E6000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xAA229000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB8248000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB8258000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB83D0000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAA225000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAA219000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xA9DF6000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB85EE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAA1C1000 \SystemRoot\System32\drivers\Dxapi.sys
0xB83E8000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB87A9000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\ati2dvag.dll
0xBD060000 \SystemRoot\System32\ati2cqag.dll
0xBD108000 \SystemRoot\System32\atikvmag.dll
0xBD1B1000 \SystemRoot\System32\atiok3x2.dll
0xBD216000 \SystemRoot\System32\ati3duag.dll
0xBD5D5000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA7240000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA71B2000 \SystemRoot\system32\DRIVERS\irda.sys
0xA7269000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA6F7D000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB864C000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB8478000 \??\C:\WINDOWS\system32\ANIO.SYS
0xA6C7E000 \SystemRoot\system32\DRIVERS\srv.sys
0xA6949000 \SystemRoot\system32\drivers\wdmaud.sys
0xA6B8E000 \SystemRoot\system32\drivers\sysaudio.sys
0xA6638000 \SystemRoot\System32\Drivers\HTTP.sys
0xA61EC000 \SystemRoot\system32\DRIVERS\RT61.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
0 System Idle Process
4 System
920 C:\WINDOWS\system32\smss.exe
976 csrss.exe
1008 C:\WINDOWS\system32\winlogon.exe
1052 C:\WINDOWS\system32\services.exe
1064 C:\WINDOWS\system32\lsass.exe
1272 C:\WINDOWS\system32\ati2evxx.exe
1296 C:\WINDOWS\system32\svchost.exe
1352 svchost.exe
1392 C:\WINDOWS\system32\svchost.exe
1532 svchost.exe
1568 svchost.exe
1744 C:\WINDOWS\system32\spoolsv.exe
1812 C:\WINDOWS\system32\ati2evxx.exe
1820 C:\Programme\Avira\AntiVir Desktop\sched.exe
1888 svchost.exe
1968 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1980 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
2012 C:\Programme\Bonjour\mDNSResponder.exe
264 C:\Programme\ICQ6Toolbar\ICQ Service.exe
300 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
328 C:\Programme\Java\jre6\bin\jqs.exe
524 C:\WINDOWS\system32\svchost.exe
600 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
816 C:\WINDOWS\system32\wuauclt.exe
912 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVCM.EXE
1476 alg.exe
2256 C:\WINDOWS\system32\wscntfy.exe
2292 C:\WINDOWS\explorer.exe
2552 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
2584 C:\WINDOWS\RTHDCPL.exe
2592 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2640 C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
2868 C:\Programme\Unlocker\UnlockerAssistant.exe
2924 C:\Programme\iTunes\iTunesHelper.exe
2948 C:\Programme\DAEMON Tools Lite\daemon.exe
3000 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
3044 C:\WINDOWS\system32\ctfmon.exe
3184 C:\Programme\iPod\bin\iPodService.exe
3324 C:\Programme\Mozilla Firefox 4.0 Beta 7\firefox.exe
2716 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`4c130200 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD103SJ, Rev: 1AJ10001

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 05.01.2011, 19:34

Zitat:

Default Browser: Mozilla Corporation Firefox 4.0b8

Was willst du mit dem FF4 BETA als Standardbrowser??

morasul · 05.01.2011, 20:02

Spricht irgendwas dagegen? Läuft bei mir fehlerfrei, schnell uns sieht meiner meinung nach schick aus. Oder gibt es bei dem sicherheitstechnische bedenken?

cosinus · 05.01.2011, 20:42

Naja, Betaversionen können immer noch eine Menge Fehler enthalten und man sollte sie deswegen auch nur zum Testen und nie für den produktiven Einsatz verwenden.

morasul · 05.01.2011, 20:46

Hm ok danke für den Hinweis. Sind die Logs soweit in ordnung oder muss ich mir noch sorgen machen?

Achja eine Frage noch ist es eigentlich Notwendig den IE auf dem neusten Stand zu halten wenn mann ihn nie benutzt?

02.01.2011, 19:38	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Verschiedene Trojaner in C:\System Volume Information\_restore - Standard$ Verschiedene Trojaner in C:\System Volume Information\_restore Öfffne Malwarebytes und geh in den Reiter Logdateien. Alle Logdateien posten, die da aufgelistet sind. __________________ Logfiles bitte immer in CODE-Tags posten

05.01.2011, 20:42	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Verschiedene Trojaner in C:\System Volume Information\_restore - Standard$ Verschiedene Trojaner in C:\System Volume Information\_restore Naja, Betaversionen können immer noch eine Menge Fehler enthalten und man sollte sie deswegen auch nur zum Testen und nie für den produktiven Einsatz verwenden. __________________ Logfiles bitte immer in CODE-Tags posten

Verschiedene Trojaner in C:\System Volume Information\_restore

Log-Analyse und Auswertung: Verschiedene Trojaner in C:\System Volume Information\_restore