Hallo an alle und ein gutes neues Jahr !
Ich höffe mal ich befinde mich hier im richtigen Unterforum.

Seit geraumer Zeit öffnet mein Firefox Seiten, die er nicht öffnen soll. So schickt er mich z.B. statt auf die Seite von Chip auf eine Seite auf der mir gesagt wird mein System sein infiziert und mir gleich die passende Lösung per Download angeboten wird, welche ich natürlich nicht angenommen habe.
Ich habe versucht das Problem mit Spybot zu beheben, was aber nur kurzfristig funktioniert. Darüberhinaus habe ich meine Antivirensoftware Von Antivir zu AVG gewechselt. Direkt nach der installation von AVG hat es auch einen Virus identifiziert : Win32/Patched.GB dasbefallene Objekt stünde jedoch auf der Whitelist und somit könne man es nicht löschen. Hier eine Kurze Zwichenfrage : Ist es möglich das Popupfenster von AVG welches besagten Fund anzeigt zu deaktivieren, da es alle 20 Sekunden aufgeht und mir somit ziemlich auf die Nerven fällt.

Im Anhang habe ich Logfiles verschiedener Programme.
Vielen Dank schonmal im vorraus.

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

danke für den schnellen Hinweis. Ich habe leider keine älteren Logfiles von Malewarebytes'.

Im Anhang das Logfile zum Komplettscann.

Grüße
Kevin

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Und nun das Combofix Log :

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-01-03.04 - ***** 04.01.2011  13:34:21.1.3 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2598 [GMT 1:00]
ausgeführt von:: e:\dokumente und einstellungen\*****\Desktop\cofi.exe.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

e:\windows\system32\kb.dll

Infizierte Kopie von e:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - e:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 

Infizierte Kopie von e:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - e:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-04 bis 2011-01-04  ))))))))))))))))))))))))))))))
.

2011-01-04 12:02 . 2011-01-04 12:03	--------	d-----w-	e:\programme\CCleaner
2011-01-03 16:11 . 2011-01-03 16:11	--------	d-----w-	E:\$AVG
2011-01-03 14:34 . 2011-01-03 14:34	--------	d-----w-	e:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\AVG Security Toolbar
2011-01-03 14:32 . 2011-01-03 14:32	--------	d-----w-	e:\dokumente und einstellungen\*****\Anwendungsdaten\AVG10
2011-01-03 14:30 . 2011-01-03 14:30	--------	d--h--w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2011-01-03 14:29 . 2011-01-04 12:27	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10
2011-01-03 14:10 . 2011-01-03 14:28	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2011-01-02 23:39 . 2011-01-02 23:39	--------	d-----w-	e:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2011-01-02 23:39 . 2010-12-20 17:09	38224	----a-w-	e:\windows\system32\drivers\mbamswissarmy.sys
2011-01-02 23:39 . 2011-01-02 23:39	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-02 23:39 . 2011-01-02 23:39	--------	d-----w-	e:\programme\Malwarebytes' Anti-Malware
2011-01-02 23:39 . 2010-12-20 17:08	20952	----a-w-	e:\windows\system32\drivers\mbam.sys
2010-12-27 20:22 . 2001-08-18 03:53	8704	-c--a-w-	e:\windows\system32\dllcache\kbdjpn.dll
2010-12-27 20:22 . 2001-08-18 03:53	8704	----a-w-	e:\windows\system32\kbdjpn.dll
2010-12-27 20:22 . 2001-08-18 03:53	8192	-c--a-w-	e:\windows\system32\dllcache\kbdkor.dll
2010-12-27 20:22 . 2001-08-18 03:53	8192	----a-w-	e:\windows\system32\kbdkor.dll
2010-12-27 20:22 . 2001-08-17 13:55	6144	-c--a-w-	e:\windows\system32\dllcache\kbd101c.dll
2010-12-27 20:22 . 2001-08-17 13:55	6144	-c--a-w-	e:\windows\system32\dllcache\kbd101b.dll
2010-12-27 20:22 . 2001-08-17 13:55	6144	----a-w-	e:\windows\system32\kbd101c.dll
2010-12-27 20:22 . 2001-08-17 13:55	6144	----a-w-	e:\windows\system32\kbd101b.dll
2010-12-27 20:22 . 2001-08-17 13:55	5632	-c--a-w-	e:\windows\system32\dllcache\kbd103.dll
2010-12-27 20:22 . 2001-08-17 13:55	5632	----a-w-	e:\windows\system32\kbd103.dll
2010-12-27 20:22 . 2008-04-14 06:50	6144	-c--a-w-	e:\windows\system32\dllcache\kbd106.dll
2010-12-27 20:22 . 2008-04-14 06:50	6144	----a-w-	e:\windows\system32\kbd106.dll
2010-12-23 17:30 . 2011-01-03 18:12	--------	d-----w-	e:\programme\Spybot - Search & Destroy
2010-12-23 17:30 . 2011-01-03 18:11	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-12-23 17:05 . 2010-12-23 17:05	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-12-20 19:02 . 2010-12-20 19:02	--------	d-----w-	e:\programme\Gemeinsame Dateien\Java
2010-12-20 19:01 . 2010-11-12 17:53	472808	----a-w-	e:\windows\system32\deployJava1.dll
2010-12-20 10:39 . 2010-12-20 10:40	--------	d-----w-	e:\programme\temp
2010-12-18 20:42 . 2010-12-20 21:18	--------	d-----w-	e:\programme\tmp
2010-12-18 20:42 . 2010-12-20 16:20	--------	d-----w-	e:\programme\win
2010-12-13 19:10 . 2010-12-13 19:24	--------	d-----w-	e:\windows\speech
2010-12-13 19:10 . 2010-12-13 19:24	--------	d-----w-	e:\windows\Lhsp
2010-12-12 11:49 . 2010-12-23 16:43	--------	d-----w-	e:\programme\epqFwxEX
2010-12-07 19:02 . 2010-12-07 19:02	--------	d-----w-	e:\dokumente und einstellungen\*****\Anwendungsdaten\InstallShield Installation Information
2010-12-07 18:51 . 2010-12-07 18:51	--------	d-----w-	e:\programme\DIFX
2010-12-07 18:50 . 2010-12-07 18:51	--------	d-----w-	e:\programme\AGEIA Technologies
2010-12-07 18:50 . 2010-12-07 18:50	--------	d-----w-	e:\windows\system32\AGEIA
2010-12-07 18:50 . 2010-12-07 18:50	--------	d-----w-	e:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-12-07 16:51 . 2010-12-07 16:51	--------	d-----w-	e:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Help

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 15:34 . 2009-10-15 13:08	73728	----a-w-	e:\windows\system32\javacpl.cpl
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="e:\programme\Pando Networks\Media Booster\PMB.exe" [2010-11-15 2975640]
"ICQ"="e:\programme\ICQ7.2\ICQ.exe" [2010-11-01 133432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="e:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 98304]
"QuickTime Task"="e:\programme\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]
"vmware-tray"="e:\vmware\vmware-tray.exe" [2007-05-01 68400]
"VMware hqtray"="e:\vmware\hqtray.exe" [2007-05-01 56112]
"SunJavaUpdateSched"="e:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="e:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="e:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"e:\\Dokumente und Einstellungen\\*****\\Desktop\\Bot\\RedVex.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"e:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"e:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Call of Duty\\CoDMP.exe"=
"e:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WoW-schiss\\Launcher.exe"=
"e:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Programme\\ICQ7.2\\ICQ.exe"=
"e:\\Programme\\ICQ7.2\\aolload.exe"=
"e:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"e:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"e:\\Dokumente und Einstellungen\\*****\\Desktop\\RavFTP\\RavFTP.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\steamapps\\rastaklaus\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\rastaklaus\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Unreal Tournament 3 (LG)\\Binaries\\UT3.exe"=
"e:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57849:TCP"= 57849:TCP:Pando Media Booster
"57849:UDP"= 57849:UDP:Pando Media Booster

R2 ICQ Service;ICQ Service;e:\programme\ICQ6Toolbar\ICQ Service.exe [01.11.2010 12:58 247096]
.
Inhalt des "geplante Tasks" Ordners

2010-12-18 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-04 13:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@e:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="e:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(868)
e:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3832)
e:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\windows\system32\Ati2evxx.exe
e:\windows\system32\Ati2evxx.exe
e:\programme\idt\v114_ecs_d_6207.2v7_6099.8xp_g2.0v_rc_sdc\wdm\STacSV.exe
e:\programme\IDT\WDM\sttray.exe
e:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
e:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
e:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
e:\programme\Bonjour\mDNSResponder.exe
e:\programme\Java\jre6\bin\jqs.exe
e:\windows\system32\PnkBstrA.exe
e:\windows\system32\wdfmgr.exe
e:\vmware\vmware-authd.exe
e:\programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
e:\windows\system32\vmnat.exe
e:\windows\system32\vmnetdhcp.exe
e:\programme\iPod\bin\iPodService.exe
e:\windows\system32\imapi.exe
e:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-04  13:39:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-04 12:39

Vor Suchlauf: 8.313.274.368 Bytes frei
Nach Suchlauf: 8.286.027.776 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer

- - End Of File - - A521866C368C5B48D14B645DEC01AD16
         

Grüße
Kevin
--- --- ---

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
e:\programme\temp
e:\programme\tmp
e:\programme\win
e:\programme\epqFwxEX
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Einmal die Anvenger Log:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "e:\programme\temp" deleted successfully.
Folder "e:\programme\tmp" deleted successfully.
Folder "e:\programme\win" deleted successfully.
Folder "e:\programme\epqFwxEX" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Und der link zur backup.zip
hxxp://www.file-upload.net/download-3101569/backup.zip.html

Grüße
Kevin

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Log:
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-04 16:50:35
Windows 5.1.2600 Service Pack 3 Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-17 ST3200822AS rev.3.01
Running: j6w2r9k8.exe; Driver: E:\DOKUME~1\Kevin\LOKALE~1\Temp\agdoqpod.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwOpenProcess [0xAAF1F6C0]
SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwTerminateProcess [0xAAF1F770]
SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwTerminateThread [0xAAF1F810]
SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwWriteVirtualMemory [0xAAF1F8B0]

---- Kernel code sections - GMER 1.0.15 ----

.text           E:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                    section is writeable [0xF6C81000, 0x238E77, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           E:\Programme\Pando Networks\Media Booster\PMB.exe[1984] kernel32.dll!SetUnhandledExceptionFilter                            7C8449FD 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                      AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\usbhub \Device\00000077                                                                                             hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\00000079                                                                                             hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                 avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\usbohci \Device\USBFDO-0                                                                                            hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-1                                                                                            hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007a                                                                                             hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbohci \Device\USBFDO-2                                                                                            hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-3                                                                                            hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007d                                                                                             hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                    AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS@StateIndex                                                              0

---- EOF - GMER 1.0.15 ----
         

--- --- ---


OSAM Log:
OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:58:16 on 04.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "AVG Technologies CZ, s.r.o." - E:\PROGRA~1\AVG\AVG10\avgchsvx.exe
"BootExecute" - "AVG Technologies CZ, s.r.o." - E:\PROGRA~1\AVG\AVG10\avgrsx.exe

[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - E:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - E:\WINDOWS\system32\DivXControlPanelApplet.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - E:\WINDOWS\system32\javacpl.cpl
"PhysX.cpl" - ? - E:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Pando" - "Pando Networks" - E:\Programme\Pando Networks\Media Booster\PMB.cpl
"QuickTime" - "Apple Inc." - E:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AVG Anti-Rootkit Driver" (Avgrkx86) - "AVG Technologies CZ, s.r.o." - E:\WINDOWS\System32\DRIVERS\avgrkx86.sys
"AVG AVI Loader Driver" (Avgldx86) - "AVG Technologies CZ, s.r.o." - E:\WINDOWS\System32\DRIVERS\avgldx86.sys
"AVG Mini-Filter Resident Anti-Virus Shield" (Avgmfx86) - "AVG Technologies CZ, s.r.o." - E:\WINDOWS\System32\DRIVERS\avgmfx86.sys
"AVG TDI Driver" (Avgtdix) - "AVG Technologies CZ, s.r.o." - E:\WINDOWS\System32\DRIVERS\avgtdix.sys
"catchme" (catchme) - ? - E:\cofi.exe\catchme.sys  (File not found)
"Changer" (Changer) - ? - E:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - E:\WINDOWS\System32\DRIVERS\hamachi.sys
"i2omgmt" (i2omgmt) - ? - E:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"ISO DVD/CD-ROM Device Driver" (ISODrive) - "EZB Systems, Inc." - C:\Programme\UltraISO\drivers\ISODrive.sys
"lbrtfdc" (lbrtfdc) - ? - E:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - E:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - E:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - E:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - E:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - E:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - E:\WINDOWS\System32\Drivers\PxHelp20.sys
"VMware Bridge Protocol" (VMnetBridge) - "VMware, Inc." - E:\WINDOWS\System32\DRIVERS\vmnetbridge.sys
"VMware hcmon" (hcmon) - "VMware, Inc." - E:\WINDOWS\system32\Drivers\hcmon.sys
"VMware kbd" (vmkbd) - "VMware, Inc." - E:\WINDOWS\system32\drivers\VMkbd.sys
"VMware Network Application Interface" (VMnetuserif) - "VMware, Inc." - E:\WINDOWS\system32\drivers\vmnetuserif.sys
"VMware vmx86" (vmx86) - "VMware, Inc." - E:\WINDOWS\system32\Drivers\vmx86.sys
"Vstor2 Virtual Storage Driver" (vstor2) - "VMware, Inc." - E:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys
"Vstor2 WS60 Virtual Storage Driver" (vstor2-ws60) - "VMware, Inc." - E:\VMware\vstor2-ws60.sys
"WDICA" (WDICA) - ? - E:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - E:\WINDOWS\system32\Rundll32.exe E:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - E:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{F2DDE6B2-9684-4A55-86D4-E255E237B77C} "avgsecuritytoolbar" - ? - E:\Programme\AVG\AVG10\Toolbar\IEToolbar.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - E:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - E:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{F274614C-63F8-47D5-A4D1-FBDDE494F8D1} "XPLPPFilter Class" - "AVG Technologies CZ, s.r.o." - E:\Programme\AVG\AVG10\avgpp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} "AVG Find Extension" - ? -   (File not found | COM-object registry key not found)
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} "AVG Shell Extension Class" - "AVG Technologies CZ, s.r.o." - E:\Programme\AVG\AVG10\avgse.dll
{34F4B935-17DC-4885-8BC9-CCD1ADF42F93} "CISORecorderContextMenu Object" - "Alex Feinman" - E:\Programme\Alex Feinman\ISO Recorder\ISORecorder.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - E:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - E:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - E:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - E:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - E:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - E:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - E:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - E:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - E:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{AD392E40-428C-459F-961E-9B147782D099} "UIContextMenu Class" - "EZB Systems, Inc." - C:\Programme\UltraISO\isoshell.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - E:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - E:\Programme\ICQ6Toolbar\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://E:\WINDOWS\Java\classes\dajava.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://E:\WINDOWS\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - E:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{33564D57-0000-0010-8000-00AA00389B71} "{33564D57-0000-0010-8000-00AA00389B71}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7.2" - "ICQ, LLC." - E:\Programme\ICQ7.2\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{CCC7A320-B3CA-4199-B1A6-9F516DD69829} "AVG Security Toolbar" - ? - E:\Programme\AVG\AVG10\Toolbar\IEToolbar.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - E:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "AVG Safe Search" - "AVG Technologies CZ, s.r.o." - E:\Programme\AVG\AVG10\avgssie.dll
{A3BC75A2-1F87-4686-AA43-5347D756017C} "AVG Security Toolbar BHO" - ? - E:\Programme\AVG\AVG10\Toolbar\IEToolbar.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - E:\Dokumente und Einstellungen\Kevin\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ICQ" - "ICQ, LLC." - "E:\Programme\ICQ7.2\ICQ.exe" silent loginmode=4
"Pando Media Booster" - ? - E:\Programme\Pando Networks\Media Booster\PMB.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AVG_TRAY" - "AVG Technologies CZ, s.r.o." - E:\Programme\AVG\AVG10\avgtray.exe
"DivXUpdate" - ? - "E:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"iTunesHelper" - "Apple Inc." - "E:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task" - "Apple Inc." - "E:\Programme\QuickTime\QTTask.exe" -atboottime
"StartCCC" - "Advanced Micro Devices, Inc." - "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"VMware hqtray" - "VMware, Inc." - "E:\VMware\hqtray.exe"
"vmware-tray" - "VMware, Inc." - E:\VMware\vmware-tray.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - E:\WINDOWS\system32\ati2sgag.exe
"Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)
"AVG Security Toolbar Service" (AVG Security Toolbar Service) - ? - E:\Programme\AVG\AVG10\Toolbar\ToolbarBroker.exe
"AVG WatchDog" (avgwd) - "AVG Technologies CZ, s.r.o." - E:\Programme\AVG\AVG10\avgwdsvc.exe
"AVGIDSAgent" (AVGIDSAgent) - "AVG Technologies CZ, s.r.o." - E:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - E:\Programme\Bonjour\mDNSResponder.exe
"ICQ Service" (ICQ Service) - ? - E:\Programme\ICQ6Toolbar\ICQ Service.exe
"Imapi Helper" (Imapi Helper) - "Alex Feinman" - E:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - E:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\jqs.exe
"PnkBstrA" (PnkBstrA) - ? - E:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"VMware Agent Service" (ufad-ws60) - "VMware, Inc." - E:\VMware\vmware-ufad.exe
"VMware Authorization Service" (VMAuthdService) - "VMware, Inc." - E:\VMware\vmware-authd.exe
"VMware DHCP Service" (VMnetDHCP) - "VMware, Inc." - E:\WINDOWS\system32\vmnetdhcp.exe
"VMware NAT Service" (VMware NAT Service) - "VMware, Inc." - E:\WINDOWS\system32\vmnat.exe
"VMware Virtual Mount Manager Extended" (vmount2) - "VMware, Inc." - E:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - E:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck Log:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000fd

Kernel Drivers (total 134):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7497000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798B000 dmload.sys
0xF7301000 dmio.sys
0xF770F000 PartMgr.sys
0xF74A7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF74B7000 disk.sys
0xF74C7000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF72C9000 fltmgr.sys
0xF72B7000 sr.sys
0xF74D7000 PxHelp20.sys
0xF72A0000 KSecDD.sys
0xF7213000 Ntfs.sys
0xF71E6000 NDIS.sys
0xF71CC000 Mup.sys
0xF7717000 avgrkx86.sys
0xF74E7000 AVGIDSEH.Sys
0xF76F7000 \SystemRoot\System32\DRIVERS\processr.sys
0xF7527000 \SystemRoot\System32\DRIVERS\serial.sys
0xF795B000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF77C7000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF77CF000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF7160000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF77D7000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF7537000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF7547000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF713D000 \SystemRoot\System32\DRIVERS\ks.sys
0xF77DF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF7117000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7557000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF6C80000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6C6C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6C49000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF7967000 \SystemRoot\System32\DRIVERS\wmiacpi.sys
0xF7BCD000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF7567000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF796B000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6C32000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF7577000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF7587000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF77E7000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6BF9000 \SystemRoot\System32\DRIVERS\psched.sys
0xF7597000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF77EF000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF77F7000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF77FF000 \SystemRoot\system32\DRIVERS\hamachi.sys
0xF6BC9000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF75A7000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7807000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF780F000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF79A5000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF6B6B000 \SystemRoot\System32\DRIVERS\update.sys
0xF71A8000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF71A4000 \SystemRoot\system32\DRIVERS\vmnetadapter.sys
0xF71A0000 \SystemRoot\system32\DRIVERS\VMNET.SYS
0xF75B7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF75C7000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF79A9000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xAE6B8000 \SystemRoot\system32\drivers\sthda.sys
0xAE696000 \SystemRoot\system32\drivers\portcls.sys
0xF75F7000 \SystemRoot\system32\drivers\drmk.sys
0xF781F000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF7617000 \SystemRoot\system32\DRIVERS\avgmfx86.sys
0xF79AF000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A63000 \SystemRoot\System32\Drivers\Null.SYS
0xF79B1000 \SystemRoot\System32\Drivers\Beep.SYS
0xF782F000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF7837000 \SystemRoot\System32\drivers\vga.sys
0xF79B3000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF783F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7847000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF793B000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xAE63B000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xAE5E2000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xAE59A000 \SystemRoot\system32\DRIVERS\avgtdix.sys
0xAE574000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF7637000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF7957000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF7647000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xAE54C000 \SystemRoot\System32\DRIVERS\netbt.sys
0xAE52A000 \SystemRoot\System32\drivers\afd.sys
0xF7657000 \SystemRoot\System32\DRIVERS\netbios.sys
0xAE4FF000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xAE48F000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xAE478000 \??\C:\Programme\UltraISO\drivers\ISODrive.sys
0xF7867000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xF7667000 \SystemRoot\System32\Drivers\Fips.SYS
0xAE39C000 \SystemRoot\system32\DRIVERS\avgldx86.sys
0xF6C0A000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF6AC3000 \SystemRoot\System32\DRIVERS\kbdhid.sys
0xF6ABF000 \??\E:\WINDOWS\system32\drivers\VMkbd.sys
0xF7697000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAE2BC000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79CD000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAE35C000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7757000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7A8E000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF06B000 \SystemRoot\System32\ati2cqag.dll
0xBF101000 \SystemRoot\System32\atikvmag.dll
0xBF19A000 \SystemRoot\System32\atiok3x2.dll
0xBF1FA000 \SystemRoot\System32\ati3duag.dll
0xBF54F000 \SystemRoot\System32\ativvaxx.dll
0xF7787000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys
0xAB7AB000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xAB526000 \SystemRoot\system32\drivers\wdmaud.sys
0xAB663000 \SystemRoot\system32\drivers\sysaudio.sys
0xAAD02000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xAAEA7000 \??\E:\WINDOWS\system32\Drivers\hcmon.sys
0xAAC72000 \??\E:\WINDOWS\system32\Drivers\vmx86.sys
0xAAE77000 \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys
0xAAB30000 \SystemRoot\System32\DRIVERS\srv.sys
0xF7777000 \??\E:\WINDOWS\system32\drivers\vmnetuserif.sys
0xAAA4C000 \??\E:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys
0xAAA44000 \??\E:\VMware\vstor2-ws60.sys
0xAAD3F000 \SystemRoot\system32\DRIVERS\AVGIDSFilter.Sys
0xAA8D8000 \SystemRoot\system32\DRIVERS\AVGIDSDriver.Sys
0xAA79C000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xAA4DB000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 51):
0 System Idle Process
4 System
800 E:\WINDOWS\system32\smss.exe
832 E:\PROGRA~1\AVG\AVG10\avgchsvx.exe
1028 csrss.exe
1068 E:\WINDOWS\system32\winlogon.exe
1116 E:\WINDOWS\system32\services.exe
1128 E:\WINDOWS\system32\lsass.exe
1304 E:\WINDOWS\system32\ati2evxx.exe
1324 E:\WINDOWS\system32\svchost.exe
1384 svchost.exe
1880 E:\WINDOWS\system32\svchost.exe
264 svchost.exe
408 svchost.exe
512 E:\WINDOWS\system32\spoolsv.exe
556 E:\WINDOWS\system32\ati2evxx.exe
608 E:\Programme\IDT\v114_ECS_D_6207.2V7_6099.8xp_G2.0V_RC_SDC\WDM\stacsv.exe
1560 E:\WINDOWS\explorer.exe
1740 E:\Programme\iTunes\iTunesHelper.exe
1756 E:\VMware\hqtray.exe
1772 E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1780 E:\Programme\DivX\DivX Update\DivXUpdate.exe
1960 E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
2012 E:\Programme\AVG\AVG10\avgtray.exe
136 E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
204 E:\Programme\Pando Networks\Media Booster\PMB.exe
232 E:\Programme\ICQ7.2\ICQ.exe
672 E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
1644 E:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSMonitor.exe
2216 E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2248 E:\Programme\AVG\AVG10\avgwdsvc.exe
2288 E:\Programme\Bonjour\mDNSResponder.exe
2368 E:\Programme\ICQ6Toolbar\ICQ Service.exe
2560 E:\Programme\Java\jre6\bin\jqs.exe
2864 E:\WINDOWS\system32\PnkBstrA.exe
3212 wdfmgr.exe
3384 E:\VMware\vmware-authd.exe
3492 E:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
3516 E:\WINDOWS\system32\vmnat.exe
3716 E:\WINDOWS\system32\vmnetdhcp.exe
3740 E:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
2732 E:\Programme\AVG\AVG10\avgnsx.exe
2772 E:\Programme\AVG\AVG10\avgemcx.exe
2448 E:\Programme\iPod\bin\iPodService.exe
2904 E:\WINDOWS\system32\wscntfy.exe
1640 alg.exe
4024 D:\Programme\Mozilla Firefox\firefox.exe
2652 wmiprvse.exe
780 E:\PROGRA~1\AVG\AVG10\avgrsx.exe
2640 E:\Programme\AVG\AVG10\avgcsrvx.exe
1700 E:\Dokumente und Einstellungen\Kevin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x0000000c`35100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`007e0000 (NTFS)

PhysicalDrive1 Model Number: ST3200822AS, Rev: 3.01
PhysicalDrive0 Model Number: SAMSUNGSP1614N, Rev: TM100-24

Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!



Grüße
Kevin

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier die erste Logdatei, die zweite schaut aber bis jetzt nicht so dolle aus:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5457

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04.01.2011 20:19:38
mbam-log-2011-01-04 (20-19-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 279253
Laufzeit: 2 Stunde(n), 16 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Grüße
Kevin

Hier ist noch das SUPERAntiSpyware Log:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/04/2011 at 08:38 PM

Application Version : 4.47.1000

Core Rules Database Version : 6125
Trace Rules Database Version: 3937

Scan type : Complete Scan
Total Scan Time : 02:26:42

Memory items scanned : 681
Memory threats detected : 0
Registry items scanned : 5795
Registry threats detected : 0
File items scanned : 124309
File threats detected : 10

Adware.Tracking Cookie
E:\Dokumente und Einstellungen\Kevin\Cookies\kevin@atwola[1].txt
bc.youporn.com [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]
cdn1.eyewonder.com [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]
googleads.g.doubleclick.net [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]
media.mtvnservices.com [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]
media.scanscout.com [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]
oddcast.com [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]
static.youporn.com [ D:\Dokumente und Einstellungen\Kevin01\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ZGNFUEDX ]

Trojan.Agent/Gen-Nullo[Short]
D:\SYSTEM VOLUME INFORMATION\_RESTORE{924954A3-AF49-434F-8A17-539CDBEE8624}\RP24\A0003446.EXE

Trojan.Agent/Gen-SVC[Fake]
D:\SYSTEM VOLUME INFORMATION\_RESTORE{C249EEE9-0D9E-4550-B740-403AFDFF9C32}\RP181\A0029612.EXE

Sind nur Cookies und Überreste, harmlos.
Rechner wieder paletti?

Hallo Arne,

danke für deine ausgiebige Hilfe! Rechner funktioniert wieder soweit. Ich werde in den nächsten Tagen mal genau darauf achten ob sich nochmal was bemerkbar macht, falls ja melde ich mich nochmal im Forum.

Danke nochmals !

Viele Grüße
Kevin

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.