Antivir hat folgende Trojaner Meldung entdeckt TR/Crypt.ZPACK.Gen

King Pin 78 · 02.01.2011, 23:57

Hallo auch ich bin neu hier und habe folgendes Problem
Antivir hat mir eine Trojaner Meldung geschickt mit folgendem Titel

TR/Crypt.ZPACK.Gen

Ich hab aber versucht möglichst im Vorfeld schon mal alles bei Euch zu diesem Thema durch zu suchen und zu erledigen was Ihr benötigt um mein Problem zu lösen.

Also Eure Anleitung für Neue zu befolgen :-)

hier die Zip files der Dateien plus die Fehlermeldung von Antivir:
Siehe Anhang!

Ich hoffe ich hab damit schon alles erledigt und Ihr könnt mir sagen ob ich noch was machen muss.

So geschickt bin ich nämlich nicht im Umgang mit Trojanern oder Viren.

Vielen Dank für Eure Hilfe im Vorraus

cosinus · 03.01.2011, 14:02

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

King Pin 78 · 03.01.2011, 23:39

Hallo und Danke für die schnelle Antwort

Ich hab mein System jetzt 2 mal gescannt, beim ersten mal wurde noch etwas gefunden was ich im Anschluß entfernt habe.

Beim 2. mal wars sauber, die Log Dateien hänge ich an.

Gruß Kong Pin 78

cosinus · 04.01.2011, 09:33

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{2ecd1ccf-ace3-11df-acdb-001f1638f2ca}\Shell - "" = AutoRun
O33 - MountPoints2\{2ecd1ccf-ace3-11df-acdb-001f1638f2ca}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
[2011.01.02 22:23:09 | 000,000,384 | ---- | M] () -- C:\ProgramData\NdgmjegGDn
[2011.01.02 22:17:30 | 000,000,272 | ---- | C] () -- C:\ProgramData\~NdgmjegGDn
[2011.01.02 22:17:30 | 000,000,152 | ---- | C] () -- C:\ProgramData\~NdgmjegGDnr
[2011.01.02 22:17:28 | 000,000,384 | ---- | C] () -- C:\ProgramData\NdgmjegGDn
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

King Pin 78 · 04.01.2011, 16:56

OK hab ich gemacht

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2ecd1ccf-ace3-11df-acdb-001f1638f2ca}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ecd1ccf-ace3-11df-acdb-001f1638f2ca}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2ecd1ccf-ace3-11df-acdb-001f1638f2ca}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ecd1ccf-ace3-11df-acdb-001f1638f2ca}\ not found.
File F:\LaunchU3.exe not found.
C:\ProgramData\NdgmjegGDn moved successfully.
C:\ProgramData\~NdgmjegGDn moved successfully.
C:\ProgramData\~NdgmjegGDnr moved successfully.
File C:\ProgramData\NdgmjegGDn not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Pin King
->Temp folder emptied: 380550 bytes
->Temporary Internet Files folder emptied: 361422 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 22040638 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

Jetzt gehen einige Treiber nicht mehr WLAN / Touchpad kann das sein?

cosinus · 04.01.2011, 16:57

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

King Pin 78 · 04.01.2011, 17:41

Und hier das Combi fix file

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-03.04 - Pin King 04.01.2011  17:28:25.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3255.2306 [GMT 1:00]
ausgeführt von:: c:\users\Pin King\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-04 bis 2011-01-04  ))))))))))))))))))))))))))))))
.

2011-01-04 16:32 . 2011-01-04 16:32	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-02 21:35 . 2011-01-02 21:35	--------	d-----w-	c:\program files\ERUNT
2011-01-02 21:27 . 2011-01-02 21:27	--------	d-----w-	c:\users\Pin King\AppData\Roaming\Malwarebytes
2011-01-02 21:26 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-02 21:26 . 2011-01-02 21:26	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-02 21:26 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-02 21:08 . 2011-01-02 21:08	--------	d-----w-	c:\program files\7-Zip
2010-12-17 18:57 . 2010-10-12 04:25	516096	----a-w-	c:\program files\Windows Mail\wab.exe
2010-12-17 18:57 . 2010-10-27 04:32	2048	----a-w-	c:\windows\system32\tzres.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-23 13:15 . 2010-03-28 14:26	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-25 21:32 . 2010-03-28 14:26	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-19 09:41 . 2010-01-14 05:58	222080	------w-	c:\windows\system32\MpSigStub.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

c:\users\Pin King\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-09-23 135664]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-06 135336]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners

2011-01-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-23 13:51]

2011-01-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-23 13:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - c:\users\Pin King\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
FF - ProfilePath - c:\users\Pin King\AppData\Roaming\Mozilla\Firefox\Profiles\u5a3a5mc.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-04  17:33:06
ComboFix-quarantined-files.txt  2011-01-04 16:33

Vor Suchlauf: 7 Verzeichnis(se), 177.497.358.336 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 177.404.760.064 Bytes frei

- - End Of File - - C8101A93AF2F09C25B255C4411A78BC5

--- --- ---

cosinus · 04.01.2011, 20:15

Zitat:

Jetzt gehen einige Treiber nicht mehr WLAN / Touchpad kann das sein?

Ist das immer noch? Auch nach neustart von Windows?

Unabhängig davon ob ja oder nein:
Bitte Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

King Pin 78 · 04.01.2011, 23:05

Hallo Arne

Die Probleme mit dem Wlan und dem Touchpad bestehen immer noch ist aber erst mal nicht so wichtig für mich ich denke mal ne neu installation der Treiber dürfte da reichen. Erst einmal möchte ich nur sicher gehen das alles andere weg ist ;-)

Hier das file von MBR
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: MEDION
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MEDION
System Product Name: P6622
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 180):
0x82E0A000 \SystemRoot\system32\ntkrnlpa.exe
0x8321A000 \SystemRoot\system32\halmacpi.dll
0x80BD1000 \SystemRoot\system32\kdcom.dll
0x8B802000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8B87A000 \SystemRoot\system32\PSHED.dll
0x8B88B000 \SystemRoot\system32\BOOTVID.dll
0x8B893000 \SystemRoot\system32\CLFS.SYS
0x8B8D5000 \SystemRoot\system32\CI.dll
0x8B980000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8B9F1000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8BA3E000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8BA86000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x8BA8F000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8BA97000 \SystemRoot\system32\DRIVERS\pci.sys
0x8BAC1000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8BACC000 \SystemRoot\System32\drivers\partmgr.sys
0x8BADD000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8BAE5000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8BAF0000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8BB00000 \SystemRoot\System32\drivers\volmgrx.sys
0x8BB4B000 \SystemRoot\System32\drivers\mountmgr.sys
0x8BC02000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8BDB5000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8BDBE000 \SystemRoot\system32\drivers\fltmgr.sys
0x8BB61000 \SystemRoot\system32\drivers\fileinfo.sys
0x8BE12000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8BF41000 \SystemRoot\System32\Drivers\msrpc.sys
0x8BF6C000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8BF7F000 \SystemRoot\System32\Drivers\cng.sys
0x8BFDC000 \SystemRoot\System32\drivers\pcw.sys
0x8BFEA000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8C032000 \SystemRoot\system32\drivers\ndis.sys
0x8C0E9000 \SystemRoot\system32\drivers\NETIO.SYS
0x8C127000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8C239000 \SystemRoot\System32\drivers\tcpip.sys
0x8C382000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8C3B3000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8C3F2000 \SystemRoot\System32\Drivers\spldr.sys
0x8C200000 \SystemRoot\System32\drivers\rdyboost.sys
0x8C14C000 \SystemRoot\System32\Drivers\mup.sys
0x8C22D000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8C15C000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8C18E000 \SystemRoot\system32\DRIVERS\disk.sys
0x8C19F000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x90DDF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x90C00000 \SystemRoot\System32\Drivers\Null.SYS
0x90C07000 \SystemRoot\System32\Drivers\Beep.SYS
0x90C0E000 \SystemRoot\System32\drivers\vga.sys
0x8C1D1000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8C1F2000 \SystemRoot\System32\drivers\watchdog.sys
0x8C000000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8C008000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8C010000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8C018000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8C023000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8BB72000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8BFF3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8BB89000 \SystemRoot\system32\drivers\afd.sys
0x8BA00000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8BE00000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x91601000 \SystemRoot\system32\DRIVERS\pacer.sys
0x91620000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x91631000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9163F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x91652000 \SystemRoot\system32\DRIVERS\termdd.sys
0x91662000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x91668000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x916A9000 \SystemRoot\system32\drivers\nsiproxy.sys
0x916B3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x916BD000 \SystemRoot\System32\drivers\discache.sys
0x916C9000 \SystemRoot\System32\Drivers\dfsc.sys
0x916E1000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x916EF000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x91715000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x92410000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x92D8E000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x91736000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x92D90000 \SystemRoot\System32\drivers\dxgmms1.sys
0x93025000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x936AB000 \SystemRoot\system32\DRIVERS\HECI.sys
0x936B6000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x936C5000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x93710000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x9372F000 \SystemRoot\system32\DRIVERS\L1C62x86.sys
0x94C3E000 \SystemRoot\system32\DRIVERS\rtl8192se.sys
0x94D51000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x94D5B000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x94D5F000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x94D77000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x94D84000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x94DBB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x94DBD000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x94DCA000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x94DCD000 \SystemRoot\system32\DRIVERS\Impcd.sys
0x94DEC000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x94C00000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x94C12000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x94C1F000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x93741000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x94C31000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x93759000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x9377B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x93793000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x937AA000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x94C3C000 \SystemRoot\system32\DRIVERS\swenum.sys
0x937C1000 \SystemRoot\system32\DRIVERS\ks.sys
0x93000000 \SystemRoot\system32\DRIVERS\umbus.sys
0x96215000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x96259000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x96C0C000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x96EE5000 \SystemRoot\system32\drivers\portcls.sys
0x96F14000 \SystemRoot\system32\drivers\drmk.sys
0x96F2D000 \SystemRoot\system32\DRIVERS\IntcDAud.sys
0x82420000 \SystemRoot\System32\win32k.sys
0x96F94000 \SystemRoot\System32\drivers\Dxapi.sys
0x96F9E000 \SystemRoot\System32\Drivers\crashdmp.sys
0x90C1A000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x96FAB000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x96FBC000 \SystemRoot\system32\DRIVERS\monitor.sys
0x82680000 \SystemRoot\System32\TSDDD.dll
0x826B0000 \SystemRoot\System32\cdd.dll
0x96FC7000 \SystemRoot\system32\drivers\luafv.sys
0x96FE2000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x96F67000 \SystemRoot\system32\drivers\WudfPf.sys
0x96F81000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9626A000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x962B0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x962C0000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x962D3000 \SystemRoot\system32\drivers\HTTP.sys
0x96358000 \SystemRoot\system32\DRIVERS\bowser.sys
0x96371000 \SystemRoot\System32\drivers\mpsdrv.sys
0x96383000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x963A6000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x963E1000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xAFA36000 \SystemRoot\system32\drivers\peauth.sys
0xAFACD000 \SystemRoot\System32\Drivers\secdrv.SYS
0xAFAD7000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xAFAF8000 \SystemRoot\System32\drivers\tcpipreg.sys
0xAFB05000 \SystemRoot\System32\DRIVERS\srv2.sys
0xAFB54000 \SystemRoot\System32\DRIVERS\srv.sys
0xAFBA5000 \??\C:\Users\PINKIN~1\AppData\Local\Temp\uxldqpod.sys
0x778C0000 \Windows\System32\ntdll.dll
0x48500000 \Windows\System32\smss.exe
0x77B00000 \Windows\System32\apisetschema.dll
0x00530000 \Windows\System32\autochk.exe
0x77AE0000 \Windows\System32\psapi.dll
0x77A30000 \Windows\System32\msvcrt.dll
0x777F0000 \Windows\System32\user32.dll
0x777A0000 \Windows\System32\gdi32.dll
0x77A10000 \Windows\System32\sechost.dll
0x776C0000 \Windows\System32\kernel32.dll
0x77580000 \Windows\System32\urlmon.dll
0x76930000 \Windows\System32\shell32.dll
0x76890000 \Windows\System32\usp10.dll
0x767F0000 \Windows\System32\advapi32.dll
0x77A00000 \Windows\System32\lpk.dll
0x767B0000 \Windows\System32\ws2_32.dll
0x76610000 \Windows\System32\setupapi.dll
0x765B0000 \Windows\System32\shlwapi.dll
0x76560000 \Windows\System32\Wldap32.dll
0x76500000 \Windows\System32\difxapi.dll
0x764F0000 \Windows\System32\normaliz.dll
0x762F0000 \Windows\System32\iertutil.dll
0x762C0000 \Windows\System32\imagehlp.dll
0x761C0000 \Windows\System32\wininet.dll
0x761A0000 \Windows\System32\imm32.dll
0x760F0000 \Windows\System32\rpcrt4.dll
0x76060000 \Windows\System32\clbcatq.dll
0x76050000 \Windows\System32\nsi.dll
0x75F80000 \Windows\System32\msctf.dll
0x75EF0000 \Windows\System32\oleaut32.dll
0x75D90000 \Windows\System32\ole32.dll
0x75D10000 \Windows\System32\comdlg32.dll
0x75CE0000 \Windows\System32\cfgmgr32.dll
0x75C50000 \Windows\System32\comctl32.dll
0x75C00000 \Windows\System32\KernelBase.dll
0x75BE0000 \Windows\System32\devobj.dll
0x75BB0000 \Windows\System32\wintrust.dll
0x75A90000 \Windows\System32\crypt32.dll
0x75A80000 \Windows\System32\msasn1.dll

Processes (total 55):
0 System Idle Process
4 System
320 C:\Windows\System32\smss.exe
476 csrss.exe
536 C:\Windows\System32\wininit.exe
544 csrss.exe
592 C:\Windows\System32\services.exe
608 C:\Windows\System32\lsass.exe
616 C:\Windows\System32\lsm.exe
728 C:\Windows\System32\svchost.exe
824 C:\Windows\System32\nvvsvc.exe
864 C:\Windows\System32\svchost.exe
924 C:\Windows\System32\svchost.exe
956 C:\Windows\System32\svchost.exe
988 C:\Windows\System32\svchost.exe
1092 C:\Windows\System32\svchost.exe
1172 C:\Windows\System32\svchost.exe
1276 C:\Windows\System32\winlogon.exe
1412 C:\Windows\System32\spoolsv.exe
1448 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1472 C:\Windows\System32\svchost.exe
1584 C:\Windows\System32\nvvsvc.exe
1696 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1760 C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
1808 C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
1860 C:\Windows\System32\PSIService.exe
1904 C:\Program Files\CyberLink\Shared files\RichVideo.exe
1944 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
1960 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1968 C:\Windows\System32\conhost.exe
2024 C:\Windows\System32\svchost.exe
484 C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
1856 C:\Windows\System32\dwm.exe
1852 C:\Windows\System32\taskhost.exe
2424 C:\Windows\explorer.exe
2584 C:\Program Files\Windows Sidebar\sidebar.exe
2628 C:\Program Files\OpenOffice.org 3\program\soffice.exe
2636 C:\Program Files\OpenOffice.org 3\program\soffice.bin
2880 C:\Windows\System32\svchost.exe
3120 C:\Windows\System32\SearchIndexer.exe
3860 C:\Windows\System32\svchost.exe
3108 C:\Windows\System32\svchost.exe
1656 C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
3488 C:\Windows\System32\svchost.exe
2380 C:\Program Files\Windows Media Player\wmpnetwk.exe
2392 C:\Windows\System32\audiodg.exe
3620 C:\Windows\System32\svchost.exe
3492 C:\Windows\System32\igfxsrvc.exe
3748 C:\Users\Pin King\Desktop\osam_autorun_manager_5_0_portable\osam.exe
2740 C:\Windows\System32\SearchProtocolHost.exe
3020 C:\Windows\System32\SearchFilterHost.exe
2356 dllhost.exe
3920 dllhost.exe
4032 C:\Users\Pin King\Desktop\MBRCheck.exe
3732 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000035`5eb00000 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000BEVT-00A0RT0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: F61074C24A6DA26C38919A0032AE32ED64E1F93E

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Und noch die von OSAM

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:59:19 on 04.01.2011

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
"ISUSPM.cpl" - "Macrovision Corporation" - C:\Windows\system32\ISUSPM.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\Windows\System32\Drivers\usbaapl.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\PINKIN~1\AppData\Local\Temp\catchme.sys  (File not found)
"Realtek IR Driver" (RtsUIR) - ? - C:\Windows\System32\DRIVERS\Rts516xIR.sys  (File not found)
"Realtek Smartcard Reader Driver" (USBCCID) - ? - C:\Windows\System32\DRIVERS\RtsUCcid.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"uxldqpod" (uxldqpod) - ? - C:\Users\PINKIN~1\AppData\Local\Temp\uxldqpod.sys  (Hidden registry entry, rootkit activity | File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
 "CorelDRAW Shell Extension Component" - ? -   (File not found | COM-object registry key not found)
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.dll
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{A929C4CE-FD36-4270-B4F5-34ECAC5BD63C} "NvAppShExt Class" - "NVIDIA Corporation" - C:\Windows\system32\Nv3DAppShExt.dll
{3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} "NVIDIA CPL Context Menu Extension" - "NVIDIA Corporation" - C:\Windows\system32\nvshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"eBay - Der weltweite Online-Marktplatz" - ? - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4  (HTTP value)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
"eBay - Der weltweite Online-Marktplatz" - ? - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4  (HTTP value)
{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} "Search Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} "Windows Live Toolbar Helper" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)
{DBC80044-A445-435b-BC74-9C25C1C588A9} "{DBC80044-A445-435b-BC74-9C25C1C588A9}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Pin King\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.2.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared files\RichVideo.exe
"FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Intel(R) Management & Security Application User Notification Service" (UNS) - "Intel Corporation" - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
"Intel(R) Management and Security Application Local Management Service" (LMS) - "Intel Corporation" - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
"Intel(R) Rapid Storage Technology" (IAStorDataMgrSvc) - "Intel Corporation" - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\Windows\system32\nvvsvc.exe
"ProtexisLicensing" (ProtexisLicensing) - ? - C:\Windows\system32\PSIService.exe
"SeaPort" (SeaPort) - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
"WisLMSvc" (WisLMSvc) - "Wistron Corp." - C:\Program Files\Launch Manager\WisLMSvc.exe

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

King Pin 78 · 04.01.2011, 23:08

Und natürlich noch das von GMER

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-04 22:51:33
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD50 rev.01.0
Running: g1m3e4r.exe; Driver: C:\Users\PINKIN~1\AppData\Local\Temp\uxldqpod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                         82E4D599 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                  82E71F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000045                                       halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Counter  5780
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Help     5781

---- EOF - GMER 1.0.15 ----

--- --- ---

cosinus · 05.01.2011, 12:47

Zitat:

465 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: F61074C24A6DA26C38919A0032AE32ED64E1F93E

Noch andere Betriebssysteme außer Win7 drauf?
Hast du eine Win7-DVD 32-Bit zur Hand?

King Pin 78 · 05.01.2011, 16:46

Also andere Betriebssystems hab ich nicht mehr drauf nur Windows 7 und das war auch schon vorinstalliert, hab aber ne CD mmit Windows 7 dabei gehabt.

Sollte also kein Problem sein da irgendwas neu zu installieren.

Ist denn soweit der Trojaner jetzt weg???

Wie schützt man sich am besten gegen neue Angriffe?

UND was viel wichtiger ist nicht das das hier untergeht, vielen Dank für die Hilfe und die ganze Arbeit die Ihr hier reinsteckt.

Großes Lob dafür!

cosinus · 05.01.2011, 17:15

Boote den Rechner von dieser Disc.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Danach mbrcheck nochmal ausführen.

King Pin 78 · 05.01.2011, 21:43

Hallo Arne

ist erledigt hier das mbr file

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: MEDION
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MEDION
System Product Name: P6622
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 179):
0x82E1B000 \SystemRoot\system32\ntkrnlpa.exe
0x8322B000 \SystemRoot\system32\halmacpi.dll
0x80BAE000 \SystemRoot\system32\kdcom.dll
0x8B80F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8B887000 \SystemRoot\system32\PSHED.dll
0x8B898000 \SystemRoot\system32\BOOTVID.dll
0x8B8A0000 \SystemRoot\system32\CLFS.SYS
0x8B8E2000 \SystemRoot\system32\CI.dll
0x8B98D000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8B800000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8BA14000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8BA5C000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x8BA65000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8BA6D000 \SystemRoot\system32\DRIVERS\pci.sys
0x8BA97000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8BAA2000 \SystemRoot\System32\drivers\partmgr.sys
0x8BAB3000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8BABB000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8BAC6000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8BAD6000 \SystemRoot\System32\drivers\volmgrx.sys
0x8BB21000 \SystemRoot\System32\drivers\mountmgr.sys
0x8BC3C000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8BDEF000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8BC00000 \SystemRoot\system32\drivers\fltmgr.sys
0x8BB37000 \SystemRoot\system32\drivers\fileinfo.sys
0x8BE32000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8BF61000 \SystemRoot\System32\Drivers\msrpc.sys
0x8BF8C000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8BF9F000 \SystemRoot\System32\Drivers\cng.sys
0x8BE00000 \SystemRoot\System32\drivers\pcw.sys
0x8BE0E000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8BB48000 \SystemRoot\system32\drivers\ndis.sys
0x8C024000 \SystemRoot\system32\drivers\NETIO.SYS
0x8C062000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8C087000 \SystemRoot\System32\drivers\tcpip.sys
0x8C215000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8C246000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8C285000 \SystemRoot\System32\Drivers\spldr.sys
0x8C28D000 \SystemRoot\System32\drivers\rdyboost.sys
0x8C2BA000 \SystemRoot\System32\Drivers\mup.sys
0x8C2CA000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8C2D2000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8C304000 \SystemRoot\system32\DRIVERS\disk.sys
0x8C315000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x907D2000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x907F1000 \SystemRoot\System32\Drivers\Null.SYS
0x907F8000 \SystemRoot\System32\Drivers\Beep.SYS
0x90600000 \SystemRoot\System32\drivers\vga.sys
0x8C347000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8C368000 \SystemRoot\System32\drivers\watchdog.sys
0x8C375000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8C37D000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8C385000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8C38D000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8C398000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8C3A6000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8C3BD000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x9022E000 \SystemRoot\system32\drivers\afd.sys
0x90288000 \SystemRoot\System32\DRIVERS\netbt.sys
0x902BA000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x902C1000 \SystemRoot\system32\DRIVERS\pacer.sys
0x902E0000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x902F1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x902FF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x90312000 \SystemRoot\system32\DRIVERS\termdd.sys
0x90322000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x90328000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x90369000 \SystemRoot\system32\drivers\nsiproxy.sys
0x90373000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9037D000 \SystemRoot\System32\drivers\discache.sys
0x90389000 \SystemRoot\System32\Drivers\dfsc.sys
0x903A1000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x903AF000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x903D5000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x93E2E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x947AC000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x9180A000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x918C1000 \SystemRoot\System32\drivers\dxgmms1.sys
0x94E0B000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x95491000 \SystemRoot\system32\DRIVERS\HECI.sys
0x9549C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x954AB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x954F6000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x95515000 \SystemRoot\system32\DRIVERS\L1C62x86.sys
0x9381A000 \SystemRoot\system32\DRIVERS\rtl8192se.sys
0x9392D000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x93937000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x9393B000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x93953000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x93960000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x93997000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x93999000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x939A6000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x939A9000 \SystemRoot\system32\DRIVERS\Impcd.sys
0x939C8000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x939D1000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x939E3000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x93800000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x95527000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x939F0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x9553F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x95561000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x95579000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x95590000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x939FB000 \SystemRoot\system32\DRIVERS\swenum.sys
0x955A7000 \SystemRoot\system32\DRIVERS\ks.sys
0x955DB000 \SystemRoot\system32\DRIVERS\umbus.sys
0x918FA000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x955E9000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x82022000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x822FB000 \SystemRoot\system32\drivers\portcls.sys
0x8232A000 \SystemRoot\system32\drivers\drmk.sys
0x82343000 \SystemRoot\system32\DRIVERS\IntcDAud.sys
0x992F0000 \SystemRoot\System32\win32k.sys
0x8237D000 \SystemRoot\System32\drivers\Dxapi.sys
0x82387000 \SystemRoot\System32\Drivers\crashdmp.sys
0x9060C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x82394000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x823A5000 \SystemRoot\system32\DRIVERS\monitor.sys
0x99550000 \SystemRoot\System32\TSDDD.dll
0x99580000 \SystemRoot\System32\cdd.dll
0x823B0000 \SystemRoot\system32\drivers\luafv.sys
0x823CB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x823E0000 \SystemRoot\system32\drivers\WudfPf.sys
0x82000000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9193E000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x82010000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x91984000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9BA3A000 \SystemRoot\system32\drivers\HTTP.sys
0x9BABF000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9BAD8000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9BAEA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9BB0D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9BB48000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9BB63000 \SystemRoot\system32\drivers\peauth.sys
0x9BA00000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9BA0A000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9BA2B000 \SystemRoot\System32\drivers\tcpipreg.sys
0x91997000 \SystemRoot\System32\DRIVERS\srv2.sys
0x947AE000 \SystemRoot\System32\DRIVERS\srv.sys
0x77960000 \Windows\System32\ntdll.dll
0x47600000 \Windows\System32\smss.exe
0x77BA0000 \Windows\System32\apisetschema.dll
0x00E40000 \Windows\System32\autochk.exe
0x77860000 \Windows\System32\wininet.dll
0x77B80000 \Windows\System32\normaliz.dll
0x77B70000 \Windows\System32\lpk.dll
0x77B20000 \Windows\System32\Wldap32.dll
0x77720000 \Windows\System32\urlmon.dll
0x77AC0000 \Windows\System32\difxapi.dll
0x77AA0000 \Windows\System32\sechost.dll
0x77700000 \Windows\System32\imm32.dll
0x77670000 \Windows\System32\oleaut32.dll
0x77660000 \Windows\System32\nsi.dll
0x77580000 \Windows\System32\kernel32.dll
0x77550000 \Windows\System32\imagehlp.dll
0x774B0000 \Windows\System32\usp10.dll
0x77400000 \Windows\System32\rpcrt4.dll
0x772A0000 \Windows\System32\ole32.dll
0x77200000 \Windows\System32\advapi32.dll
0x77150000 \Windows\System32\msvcrt.dll
0x77100000 \Windows\System32\gdi32.dll
0x77070000 \Windows\System32\clbcatq.dll
0x76FA0000 \Windows\System32\user32.dll
0x76F60000 \Windows\System32\ws2_32.dll
0x76DC0000 \Windows\System32\setupapi.dll
0x76D40000 \Windows\System32\comdlg32.dll
0x760F0000 \Windows\System32\shell32.dll
0x760E0000 \Windows\System32\psapi.dll
0x76080000 \Windows\System32\shlwapi.dll
0x75E80000 \Windows\System32\iertutil.dll
0x75DB0000 \Windows\System32\msctf.dll
0x75D20000 \Windows\System32\comctl32.dll
0x75CF0000 \Windows\System32\wintrust.dll
0x75CC0000 \Windows\System32\cfgmgr32.dll
0x75BA0000 \Windows\System32\crypt32.dll
0x75B50000 \Windows\System32\KernelBase.dll
0x75B30000 \Windows\System32\devobj.dll
0x75B20000 \Windows\System32\msasn1.dll

Processes (total 52):
0 System Idle Process
4 System
320 C:\Windows\System32\smss.exe
456 csrss.exe
516 C:\Windows\System32\wininit.exe
524 csrss.exe
564 C:\Windows\System32\services.exe
588 C:\Windows\System32\lsass.exe
596 C:\Windows\System32\lsm.exe
704 C:\Windows\System32\svchost.exe
800 C:\Windows\System32\nvvsvc.exe
840 C:\Windows\System32\svchost.exe
900 C:\Windows\System32\svchost.exe
932 C:\Windows\System32\svchost.exe
968 C:\Windows\System32\svchost.exe
1032 C:\Windows\System32\audiodg.exe
1072 C:\Windows\System32\svchost.exe
1156 C:\Windows\System32\svchost.exe
1272 C:\Windows\System32\winlogon.exe
1412 C:\Windows\System32\spoolsv.exe
1448 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1468 C:\Windows\System32\svchost.exe
1552 C:\Windows\System32\nvvsvc.exe
1676 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1712 C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
1760 C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
1856 C:\Windows\System32\PSIService.exe
1916 C:\Program Files\CyberLink\Shared files\RichVideo.exe
1944 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
2004 C:\Windows\System32\svchost.exe
2024 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
128 C:\Windows\System32\conhost.exe
404 C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
2520 C:\Windows\System32\taskeng.exe
2548 C:\Windows\System32\userinit.exe
2576 C:\Windows\System32\dwm.exe
2584 C:\Windows\System32\taskhost.exe
2668 C:\Windows\explorer.exe
2824 C:\Windows\System32\svchost.exe
3000 C:\Program Files\Windows Sidebar\sidebar.exe
3048 C:\Program Files\OpenOffice.org 3\program\soffice.exe
3056 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3292 C:\Windows\System32\SearchIndexer.exe
3468 C:\Program Files\Windows Media Player\wmpnetwk.exe
3476 C:\Windows\System32\SearchProtocolHost.exe
3496 C:\Windows\System32\SearchFilterHost.exe
3696 C:\Windows\System32\svchost.exe
3872 WmiPrvSE.exe
4076 dllhost.exe
2264 dllhost.exe
1800 C:\Users\Pin King\Desktop\MBRCheck.exe
1840 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000035`5eb00000 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000BEVT-00A0RT0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Done!

cosinus · 05.01.2011, 22:36

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

05.01.2011, 22:36	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivir hat folgende Trojaner Meldung entdeckt TR/Crypt.ZPACK.Gen Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Antivir hat folgende Trojaner Meldung entdeckt TR/Crypt.ZPACK.Gen

Plagegeister aller Art und deren Bekämpfung: Antivir hat folgende Trojaner Meldung entdeckt TR/Crypt.ZPACK.Gen