|
Plagegeister aller Art und deren Bekämpfung: Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.01.2011, 00:29 | #16 |
| Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Soooo weiter gehts Code:
ATTFilter ComboFix 11-01-25.05 - Spirit 27.01.2011 0:17.1.1 - x86 Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.2943.2368 [GMT 1:00] ausgeführt von:: c:\users\Spirit\Desktop\cofi.exe AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1} FW: ESET Personal Firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA} SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\users\Spirit\AppData\Roaming\Local c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\2.ddi c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\intro_mfukui.avi.ddr c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\intro_mfukui.avi.ddp c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx c:\users\Spirit\AppData\Roaming\MSA c:\windows\system32\Device.dll c:\windows\system32\muzapp.exe c:\windows\system32\system32 c:\windows\system32\system32\cis-2.4.dll c:\windows\system32\system32\issacapi_bs-2.3.dll c:\windows\system32\system32\issacapi_pe-2.3.dll c:\windows\system32\system32\issacapi_se-2.3.dll c:\windows\system32\system32\MACXMLProto.dll c:\windows\system32\system32\MaDRM.dll c:\windows\system32\system32\MaJGUILib.dll c:\windows\system32\system32\MaJUtilLib.dll c:\windows\system32\system32\MAMACExtract.dll c:\windows\system32\system32\MASetupCaller.dll c:\windows\system32\system32\MASetupCleaner.exe c:\windows\system32\system32\MaXMLProto.dll c:\windows\system32\system32\MetaStore2.dll c:\windows\system32\system32\Microsoft.Synchronization.dll c:\windows\system32\system32\MK_Lyric.dll c:\windows\system32\system32\MSCLib.dll c:\windows\system32\system32\MSFLib.dll c:\windows\system32\system32\MSLUR71.dll c:\windows\system32\system32\msvcp60.dll c:\windows\system32\system32\MTTELECHIP.dll c:\windows\system32\system32\MTXSYNCICON.dll c:\windows\system32\system32\muzaf1.dll c:\windows\system32\system32\muzapp.dll c:\windows\system32\system32\muzapp.exe c:\windows\system32\system32\muzdecode.ax c:\windows\system32\system32\muzeffect.ax c:\windows\system32\system32\muzmp4sp.ax c:\windows\system32\system32\muzmpgsp.ax c:\windows\system32\system32\muzoggsp.ax c:\windows\system32\system32\muzwmts.dll c:\windows\system32\system32\psapi.dll c:\windows\system32\system32\Synchronization2.dll . ((((((((((((((((((((((( Dateien erstellt von 2010-12-26 bis 2011-01-26 )))))))))))))))))))))))))))))) . 2011-01-26 20:53 . 2011-01-26 20:53 -------- d-----w- C:\_OTL 2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\users\Spirit\AppData\Roaming\Malwarebytes 2011-01-26 19:14 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\programdata\Malwarebytes 2011-01-26 19:14 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-01-25 20:18 . 2009-11-25 11:47 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll 2011-01-25 20:18 . 2009-11-25 11:47 49472 ----a-w- c:\windows\system32\netfxperf.dll 2011-01-25 20:18 . 2009-11-25 11:47 297808 ----a-w- c:\windows\system32\mscoree.dll 2011-01-25 20:18 . 2009-11-25 11:47 295264 ----a-w- c:\windows\system32\PresentationHost.exe 2011-01-25 20:18 . 2009-11-25 11:47 1130824 ----a-w- c:\windows\system32\dfshim.dll 2011-01-25 20:12 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe 2011-01-25 20:10 . 2009-12-11 07:44 133720 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2011-01-25 20:09 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll 2011-01-25 20:07 . 2010-10-20 03:00 2327552 ----a-w- c:\windows\system32\win32k.sys 2011-01-25 16:24 . 2011-01-25 16:26 -------- d-----w- c:\program files\Windows Live Safety Center 2011-01-25 13:48 . 2008-02-05 14:36 798208 ----a-w- c:\windows\system32\NextControls.ocx 2011-01-25 13:48 . 2000-05-22 16:58 608448 ----a-w- c:\windows\system32\comctl32.ocx 2011-01-24 18:37 . 2011-01-24 18:37 -------- d-----w- c:\users\Spirit\AppData\Local\ESET 2011-01-24 14:59 . 2011-01-24 14:59 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 2011-01-24 14:56 . 2011-01-24 14:56 -------- d-----w- c:\users\Spirit\AppData\Local\Sunbelt Software 2011-01-24 14:54 . 2011-01-24 14:54 -------- d-----w- c:\program files\Lavasoft 2011-01-24 13:28 . 2011-01-13 08:41 357968 ----a-w- c:\windows\system32\drivers\aswSnx.sys 2011-01-23 18:45 . 2011-01-24 17:28 -------- d-----w- c:\programdata\Alwil Software 2011-01-23 17:19 . 2011-01-26 21:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2011-01-23 15:10 . 2011-01-23 15:10 79360 --sha-r- c:\windows\system32\dwmredirz.dll 2011-01-22 17:49 . 1997-07-19 15:55 1347344 ----a-w- c:\windows\system32\msvbvm50.dll 2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\programdata\Messenger Plus! 2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\program files\Messenger Plus! Live 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Microsoft 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live SkyDrive 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\windows\PCHEALTH 2011-01-11 20:34 . 2011-01-11 20:34 -------- d-----w- c:\program files\TeamViewer 2011-01-11 02:39 . 2011-01-11 02:43 919040 ----a-w- c:\windows\system32\_launch.exe 2011-01-11 02:39 . 2011-01-11 02:39 518656 ----a-w- c:\windows\system32\BomberMan.exe 2011-01-11 02:39 . 2011-01-11 02:39 471552 ----a-w- c:\windows\system32\bmo.dll 2011-01-10 22:04 . 2011-01-11 15:06 -------- d-----w- c:\users\Spirit\AppData\Roaming\skypePM 2011-01-10 22:03 . 2011-01-10 22:03 -------- d-----w- c:\program files\Common Files\Skype 2011-01-10 22:02 . 2011-01-11 20:47 -------- d-----w- c:\users\Spirit\AppData\Roaming\Skype 2011-01-10 22:02 . 2011-01-10 22:02 -------- d-----w- c:\programdata\Skype 2011-01-07 17:32 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.xtr 2011-01-07 17:30 . 2011-01-07 17:30 -------- d-----w- c:\users\Spirit\AppData\Local\PunkBuster 2011-01-07 17:28 . 2011-01-10 23:28 139080 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2011-01-07 17:28 . 2011-01-07 17:28 138056 ----a-w- c:\users\Spirit\AppData\Roaming\PnkBstrK.sys 2011-01-07 17:27 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.exe 2011-01-07 17:27 . 2011-01-10 23:21 270240 ----a-w- c:\windows\system32\PnkBstrB.ex0 2011-01-07 17:27 . 2011-01-07 17:27 75136 ----a-w- c:\windows\system32\PnkBstrA.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-12 00:44 . 2010-11-12 00:44 94208 ----a-w- c:\windows\system32\dpl100.dll 2010-11-08 22:57 . 2010-11-08 22:57 353592 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "mixer3"=wdmaud.drv [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)] 2010-12-20 17:08 963976 ----a-w- d:\programme\Malwarebytes' Anti-Malware\mbam.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime "DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" start "Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe R1 aswSnx;aswSnx; [x] R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2009-02-23 9728] R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2009-02-23 3072] R3 FXDrv32;FXDrv32;E:\FXDrv32.sys [x] R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712] R3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\DRIVERS\sscebus.sys [2010-04-27 98560] R3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\DRIVERS\sscemdfl.sys [2010-04-27 14848] R3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\DRIVERS\sscemdm.sys [2010-04-27 123648] R3 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008] R3 XDva289;XDva289;c:\windows\system32\XDva289.sys [x] R4 Winstep Xtreme Service;Winstep Xtreme Service;d:\programme\Winstep\WsxService [x] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-25 691696] S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992] S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-09 95568] S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-07-26 217088] S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-09 18120] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-09-09 36640] S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088] S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - FSUSBEXDISK [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\users\Spirit\AppData\Roaming\Mozilla\Firefox\Profiles\6k6sjex9.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2843456&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com FF - Ext: Aero Fox Silver XL: {5c876f30-10ce-11dd-bd0b-0800200c9a66} - %profile%\extensions\{5c876f30-10ce-11dd-bd0b-0800200c9a66} FF - Ext: Bloomind FT Graphite: {8225d6f0-dfca-11df-85ca-0800200c9a66} - %profile%\extensions\{8225d6f0-dfca-11df-85ca-0800200c9a66} FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\html5video FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files\DivX\DivX Plus Web Player\firefox\wpa FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file) MSConfigStartUp-egui - d:\programme\ESET Smart Security\egui.exe [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winstep Xtreme Service] "ImagePath"="d:\programme\Winstep\WsxService" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2011-01-27 00:26:58 ComboFix-quarantined-files.txt 2011-01-26 23:26 Vor Suchlauf: 7 Verzeichnis(se), 13.749.870.592 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 13.654.642.688 Bytes frei - - End Of File - - BC436B5B028AA1142E7945EB15DE5AF8 EDIT: Ok, ich muss mich berichtigen. Nun ist die Fahne wieder da. Scheint alles in Ordnung zu sein, das Sicherheitscenter und der Defender Arbeiten wieder. Er meckert nur ein wenig über das noch fehlende Antivirenprogramm Geändert von Schnupsi (27.01.2011 um 00:46 Uhr) |
27.01.2011, 09:29 | #17 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Seccenter:: AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1} FW: ESET Personal Firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA} SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C} File:: c:\windows\system32\_launch.exe c:\windows\system32\BomberMan.exe c:\windows\system32\bmo.dll c:\windows\system32\epmntdrv.sys c:\windows\system32\EuGdiDrv.sys c:\windows\system32\XDva289.sys Driver:: FXDrv32 epmntdrv EuGdiDrv XDva289 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
27.01.2011, 10:22 | #18 |
| Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder So leider muss ich nun mit dem Notebook antworten, da nachdem die cofi.exe einen Neustart veranlasst hat, der Firefox mit folgender Meldung den Dienst versagt:
__________________C:\Program Files\Mozilla Firefox\firefox.exe Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum löschen markiert wurde. EDIT: Ignoriere den oberen Teil, FF startet nun doch wieder Hier aber erstmal das Log Code:
ATTFilter ComboFix 11-01-26.01 - Spirit 27.01.2011 9:55.2.1 - x86 Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.2943.2247 [GMT 1:00] ausgeführt von:: c:\users\Spirit\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\users\Spirit\Desktop\CFScript.txt SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt * Im Speicher befindliches AV aktiv. FILE :: "c:\windows\system32\_launch.exe" "c:\windows\system32\bmo.dll" "c:\windows\system32\BomberMan.exe" "c:\windows\system32\epmntdrv.sys" "c:\windows\system32\EuGdiDrv.sys" "c:\windows\system32\XDva289.sys" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\_launch.exe c:\windows\system32\bmo.dll c:\windows\system32\BomberMan.exe c:\windows\system32\epmntdrv.sys c:\windows\system32\EuGdiDrv.sys . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_EPMNTDRV -------\Legacy_EUGDIDRV -------\Legacy_FXDRV32 -------\Legacy_XDVA289 -------\Service_epmntdrv -------\Service_EuGdiDrv -------\Service_FXDrv32 -------\Service_XDva289 ((((((((((((((((((((((( Dateien erstellt von 2010-12-27 bis 2011-01-27 )))))))))))))))))))))))))))))) . 2011-01-27 09:04 . 2011-01-27 09:06 -------- d-----w- c:\users\Spirit\AppData\Local\temp 2011-01-27 09:04 . 2011-01-27 09:04 -------- d-----w- c:\users\Mcx1-SPIRIT-PC\AppData\Local\temp 2011-01-27 09:04 . 2011-01-27 09:04 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\users\Spirit\AppData\Roaming\Malwarebytes 2011-01-26 19:14 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\programdata\Malwarebytes 2011-01-26 19:14 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-01-25 20:18 . 2009-11-25 11:47 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll 2011-01-25 20:18 . 2009-11-25 11:47 49472 ----a-w- c:\windows\system32\netfxperf.dll 2011-01-25 20:18 . 2009-11-25 11:47 297808 ----a-w- c:\windows\system32\mscoree.dll 2011-01-25 20:18 . 2009-11-25 11:47 295264 ----a-w- c:\windows\system32\PresentationHost.exe 2011-01-25 20:18 . 2009-11-25 11:47 1130824 ----a-w- c:\windows\system32\dfshim.dll 2011-01-25 20:12 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe 2011-01-25 20:10 . 2009-12-11 07:44 133720 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2011-01-25 20:09 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll 2011-01-25 20:07 . 2010-10-20 03:00 2327552 ----a-w- c:\windows\system32\win32k.sys 2011-01-25 16:24 . 2011-01-25 16:26 -------- d-----w- c:\program files\Windows Live Safety Center 2011-01-25 13:48 . 2008-02-05 14:36 798208 ----a-w- c:\windows\system32\NextControls.ocx 2011-01-25 13:48 . 2000-05-22 16:58 608448 ----a-w- c:\windows\system32\comctl32.ocx 2011-01-24 18:37 . 2011-01-24 18:37 -------- d-----w- c:\users\Spirit\AppData\Local\ESET 2011-01-24 14:59 . 2011-01-24 14:59 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 2011-01-24 14:56 . 2011-01-24 14:56 -------- d-----w- c:\users\Spirit\AppData\Local\Sunbelt Software 2011-01-24 14:54 . 2011-01-24 14:54 -------- d-----w- c:\program files\Lavasoft 2011-01-24 13:28 . 2011-01-13 08:41 357968 ----a-w- c:\windows\system32\drivers\aswSnx.sys 2011-01-23 18:45 . 2011-01-24 17:28 -------- d-----w- c:\programdata\Alwil Software 2011-01-23 17:19 . 2011-01-26 21:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2011-01-23 15:10 . 2011-01-23 15:10 79360 --sha-r- c:\windows\system32\dwmredirz.dll 2011-01-22 17:49 . 1997-07-19 15:55 1347344 ----a-w- c:\windows\system32\msvbvm50.dll 2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\programdata\Messenger Plus! 2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\program files\Messenger Plus! Live 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Microsoft 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live SkyDrive 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live 2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\windows\PCHEALTH 2011-01-11 20:34 . 2011-01-11 20:34 -------- d-----w- c:\program files\TeamViewer 2011-01-10 22:04 . 2011-01-11 15:06 -------- d-----w- c:\users\Spirit\AppData\Roaming\skypePM 2011-01-10 22:03 . 2011-01-10 22:03 -------- d-----w- c:\program files\Common Files\Skype 2011-01-10 22:02 . 2011-01-11 20:47 -------- d-----w- c:\users\Spirit\AppData\Roaming\Skype 2011-01-10 22:02 . 2011-01-10 22:02 -------- d-----w- c:\programdata\Skype 2011-01-07 17:32 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.xtr 2011-01-07 17:30 . 2011-01-07 17:30 -------- d-----w- c:\users\Spirit\AppData\Local\PunkBuster 2011-01-07 17:28 . 2011-01-10 23:28 139080 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2011-01-07 17:28 . 2011-01-07 17:28 138056 ----a-w- c:\users\Spirit\AppData\Roaming\PnkBstrK.sys 2011-01-07 17:27 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.exe 2011-01-07 17:27 . 2011-01-10 23:21 270240 ----a-w- c:\windows\system32\PnkBstrB.ex0 2011-01-07 17:27 . 2011-01-07 17:27 75136 ----a-w- c:\windows\system32\PnkBstrA.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-12 00:44 . 2010-11-12 00:44 94208 ----a-w- c:\windows\system32\dpl100.dll 2010-11-08 22:57 . 2010-11-08 22:57 353592 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NextSTART"="d:\programme\Winstep\nextstart.exe" [2010-10-13 7262848] "WorkShelf"="d:\programme\Winstep\WorkShelf.exe" [2010-10-13 15274112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "egui"="d:\programme\ESET\Smart Security\egui.exe" [2010-11-04 2219184] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "mixer3"=wdmaud.drv [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)] 2010-12-20 17:08 963976 ----a-w- d:\programme\Malwarebytes' Anti-Malware\mbam.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime "DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" start "Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe R1 aswSnx;aswSnx; [x] R3 CFcatchme;CFcatchme;c:\users\Spirit\AppData\Local\Temp\CFcatchme.sys [x] R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712] R3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\DRIVERS\sscebus.sys [2010-04-27 98560] R3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\DRIVERS\sscemdfl.sys [2010-04-27 14848] R3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\DRIVERS\sscemdm.sys [2010-04-27 123648] R3 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-25 691696] S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2010-07-29 115008] S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992] S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-09 95568] S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [2010-09-03 137144] S2 ekrn;ESET Service;d:\programme\ESET\Smart Security\ekrn.exe [2010-11-04 810144] S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2010-07-29 41336] S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-07-26 217088] S2 Winstep Xtreme Service;Winstep Xtreme Service;d:\programme\Winstep\WsxService [x] S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-09 18120] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-09-09 36640] S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088] S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - FSUSBEXDISK [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\users\Spirit\AppData\Roaming\Mozilla\Firefox\Profiles\6k6sjex9.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2843456&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\html5video FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files\DivX\DivX Plus Web Player\firefox\wpa FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winstep Xtreme Service] "ImagePath"="d:\programme\Winstep\WsxService" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\taskhost.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\sppsvc.exe d:\programme\Winstep\WsxService.exe c:\windows\system32\conhost.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\windows\system32\taskhost.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-01-27 10:08:41 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-01-27 09:08 Vor Suchlauf: 9 Verzeichnis(se), 14.246.072.320 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 14.012.616.704 Bytes frei - - End Of File - - C6ACD880878267ED3870D6EAD9539A84 Geändert von Schnupsi (27.01.2011 um 10:36 Uhr) |
27.01.2011, 11:14 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
27.01.2011, 11:43 | #20 |
| Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Datei: Qoobox.rar empfangen Vorgang erfolgreich abgeschlossen. Oh ich sehe gerade du verlangtest eine Zip Datei, ich hoffe eine .rar geht auch ok? |
27.01.2011, 11:58 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Ist schon ok. Ich hab sie bekommen und schau mal kurz rein. Du kannst in der Zwischenzeiot weitermachen: Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ --> Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder |
27.01.2011, 14:26 | #22 |
| Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Soooo.... Gmer Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2011-01-27 14:15:28 Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST3160815AS rev.4.AAB Running: shrje9o2.exe; Driver: C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82C80599 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82CA4F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} ? System32\Drivers\spol.sys Das System kann den angegebenen Pfad nicht finden. ! PAGE ataport.SYS!DllUnload + 1 8AEA7AD7 4 Bytes JMP 854971D9 .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x90C2B000, 0x267978, 0xE8000020] .text USBPORT.SYS!DllUnload 91456CA0 5 Bytes JMP 865924E0 .text a1vq0k3e.SYS 914CE000 12 Bytes [44, B8, C0, 82, EE, B6, C0, ...] .text a1vq0k3e.SYS 914CE00D 9 Bytes [97, C0, 82, 48, BB, C0, 82, ...] .text a1vq0k3e.SYS 914CE017 170 Bytes [00, DE, 27, D2, 8A, E6, 25, ...] .text a1vq0k3e.SYS 914CE0C3 8 Bytes [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL} .text a1vq0k3e.SYS 914CE0CE 4 Bytes [00, 00, 00, 00] {ADD [EAX], AL; ADD [EAX], AL} .text ... ---- User code sections - GMER 1.0.15 ---- .text D:\Programme\ESET\Smart Security\ekrn.exe[2556] kernel32.dll!SetUnhandledExceptionFilter 75993162 4 Bytes [C2, 04, 00, 00] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8AC26042] \SystemRoot\System32\Drivers\spol.sys IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8AC266D6] \SystemRoot\System32\Drivers\spol.sys IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8AC26800] \SystemRoot\System32\Drivers\spol.sys IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8AC2613E] \SystemRoot\System32\Drivers\spol.sys IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortNotification] 00147880 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortQuerySystemTime] 78800C75 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReadPortUchar] 06750015 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortStallExecution] C25DC033 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortUchar] 458B0008 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortUlong] 6A006A08 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 50056A24 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 005AB7E8 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetScatterGatherList] 0001B800 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetParentBusType] C25D0000 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortRequestCallback] CCCC0008 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortBufferUshort] CCCCCCCC IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetUnCachedExtension] CCCCCCCC IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCompleteRequest] CCCCCCCC IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCopyMemory] 53EC8B55 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortEtwTraceLog] 800C5D8B IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 7500117B IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 127B806A IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 80647500 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7500137B IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortInitialize] 157B805E IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetDeviceBase] 56587500 IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortDeviceStateChange] 8008758B ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8549D1F8 Device \Driver\volmgr \Device\VolMgrControl 854991F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{A2D2733D-A666-4CAE-A21D-38F83BFA0264} 864D51F8 Device \Driver\usbohci \Device\USBPDO-0 865A91F8 Device \Driver\usbohci \Device\USBPDO-1 865A91F8 Device \Driver\usbohci \Device\USBPDO-2 865A91F8 Device \Driver\usbohci \Device\USBPDO-3 865A91F8 Device \Driver\usbohci \Device\USBPDO-4 865A91F8 Device \Driver\usbehci \Device\USBPDO-5 865A8500 Device \Driver\PCI_PNP1003 \Device\00000062 spol.sys Device \Driver\volmgr \Device\HarddiskVolume1 854991F8 AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) Device \Driver\volmgr \Device\HarddiskVolume2 854991F8 AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) Device \Driver\cdrom \Device\CdRom0 863A21F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8549B1F8 Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 8549B1F8 Device \Driver\atapi \Device\Ide\IdePort0 8549B1F8 Device \Driver\atapi \Device\Ide\IdePort1 8549B1F8 Device \Driver\atapi \Device\Ide\IdePort2 8549B1F8 Device \Driver\atapi \Device\Ide\IdePort3 8549B1F8 Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-6 8549B1F8 Device \Driver\cdrom \Device\CdRom1 863A21F8 Device \Driver\cdrom \Device\CdRom2 863A21F8 Device \Driver\NetBT \Device\NetBt_Wins_Export 864D51F8 Device \Driver\ACPI_HAL \Device\0000005b halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) Device \Driver\sptd \Device\1037387005 spol.sys Device \Driver\usbohci \Device\USBFDO-0 865A91F8 Device \Driver\usbohci \Device\USBFDO-1 865A91F8 Device \Driver\usbohci \Device\USBFDO-2 865A91F8 Device \Driver\usbohci \Device\USBFDO-3 865A91F8 Device \Driver\usbohci \Device\USBFDO-4 865A91F8 Device \Driver\usbehci \Device\USBFDO-5 865A8500 Device \Driver\a1vq0k3e \Device\Scsi\a1vq0k3e1Port4Path0Target0Lun0 8663F500 Device \Driver\a1vq0k3e \Device\Scsi\a1vq0k3e1 8663F500 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xDE 0x33 0x93 0x39 ... Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD2 0xA0 0x5B 0x91 ... Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3D 0x11 0x29 0x0F ... Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xDE 0x33 0x93 0x39 ... Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD2 0xA0 0x5B 0x91 ... Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3D 0x11 0x29 0x0F ... ---- EOF - GMER 1.0.15 ---- OSAM Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 14:20:38 on 27.01.2011 OS: Windows 7 Ultimate Edition (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.13 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "a1vq0k3e" (a1vq0k3e) - "Microsoft Corporation" - C:\Windows\system32\drivers\a1vq0k3e.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\Windows\System32\Drivers\usbaapl.sys "ASPI32" (ASPI32) - ? - C:\Windows\system32\drivers\ASPI32.sys (File not found) "aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys "catchme" (catchme) - ? - C:\Users\Spirit\AppData\Local\Temp\catchme.sys (File not found) "CFcatchme" (CFcatchme) - ? - C:\Users\Spirit\AppData\Local\Temp\CFcatchme.sys (File not found) "dgderdrv" (dgderdrv) - "Devguru Co., Ltd" - C:\Windows\System32\drivers\dgderdrv.sys "EagleNT" (EagleNT) - ? - C:\Windows\system32\drivers\EagleNT.sys (File not found) "FsUsbExDisk" (FsUsbExDisk) - ? - C:\Windows\system32\FsUsbExDisk.SYS (File found, but it contains no detailed information) "pgryqpob" (pgryqpob) - ? - C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys (Hidden registry entry, rootkit activity | File not found) "sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler )----- {E31004D1-A431-41B8-826F-E902F9D95C81} "Windows DreamScene" - "Microsoft Corporation" - C:\Windows\System32\DreamScene.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll {83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll {B089FE88-FB52-11D3-BDF1-0050DA34150D} "ESET Smart Security - Context Menu Shell Extension" - "ESET" - D:\Programme\ESET\Smart Security\shellExt.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll {ACBA0BA3-ACED-4E02-9221-794F7588DD9C} "MP3Ext Class" - "TODO: <Company name>" - D:\Programme\All To MP3 Converter\MP3ShellExt.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {593DDEC6-7468-4cdd-90E1-42DADAA222E9} "DivX HiQ" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll {326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "egui" - "ESET" - "D:\Programme\ESET\Smart Security\egui.exe" /hide /waitservice [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Akamai NetSession Interface" (Akamai) - ? - c:\program files\common files\akamai\netsession_win_dbc0250.dll (File found, but it contains no detailed information) "Ati External Event Utility" (Ati External Event Utility) - ? - C:\Windows\system32\Ati2evxx.exe (File not found) "Device Error Recovery Service" (dgdersvc) - "Devguru Co., Ltd." - C:\Windows\system32\dgdersvc.exe "ESET HTTP Server" (EhttpSrv) - "ESET" - D:\Programme\ESET\Smart Security\EHttpSrv.exe "ESET Service" (ekrn) - "ESET" - D:\Programme\ESET\Smart Security\ekrn.exe "FsUsbExService" (FsUsbExService) - "Teruten" - C:\Windows\system32\FsUsbExService.Exe "nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\Windows\system32\GameMon.des "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) "TeamViewer 6" (TeamViewer6) - "TeamViewer GmbH" - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe "Winstep Xtreme Service" (Winstep Xtreme Service) - "Winstep Software Technologies" - D:\Programme\Winstep\WsxService.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - ? - none (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Ultimate Edition Windows Information: (build 7600), 32-bit Base Board Manufacturer: FOXCONN BIOS Manufacturer: American Megatrends Inc. System Manufacturer: FOXCONN System Product Name: A6VMX Logical Drives Mask: 0x0000007c Kernel Drivers (total 200): 0x82C3D000 \SystemRoot\system32\ntkrnlpa.exe 0x82C06000 \SystemRoot\system32\halmacpi.dll 0x80BD4000 \SystemRoot\system32\kdcom.dll 0x8323B000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll 0x83246000 \SystemRoot\system32\PSHED.dll 0x83257000 \SystemRoot\system32\BOOTVID.dll 0x8325F000 \SystemRoot\system32\CLFS.SYS 0x832A1000 \SystemRoot\system32\CI.dll 0x8334C000 \SystemRoot\system32\drivers\Wdf01000.sys 0x833BD000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8AC24000 \SystemRoot\System32\Drivers\spol.sys 0x8AD17000 \SystemRoot\System32\Drivers\WMILIB.SYS 0x8AD20000 \SystemRoot\System32\Drivers\SCSIPORT.SYS 0x8AD46000 \SystemRoot\system32\DRIVERS\ACPI.sys 0x8AD8E000 \SystemRoot\system32\DRIVERS\msisadrv.sys 0x8AD96000 \SystemRoot\system32\DRIVERS\vdrvroot.sys 0x8ADA1000 \SystemRoot\system32\DRIVERS\pci.sys 0x8ADCB000 \SystemRoot\System32\drivers\partmgr.sys 0x8ADDC000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x8ADE4000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x8ADEF000 \SystemRoot\system32\DRIVERS\volmgr.sys 0x8AE13000 \SystemRoot\System32\drivers\volmgrx.sys 0x8AE5E000 \SystemRoot\system32\DRIVERS\pciide.sys 0x8AE65000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS 0x8AE73000 \SystemRoot\System32\drivers\mountmgr.sys 0x8AE89000 \SystemRoot\system32\DRIVERS\atapi.sys 0x8AE92000 \SystemRoot\system32\DRIVERS\ataport.SYS 0x8AEB5000 \SystemRoot\system32\DRIVERS\amdxata.sys 0x8AEBE000 \SystemRoot\system32\drivers\fltmgr.sys 0x8AEF2000 \SystemRoot\system32\drivers\fileinfo.sys 0x8B018000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8B147000 \SystemRoot\System32\Drivers\msrpc.sys 0x8B172000 \SystemRoot\System32\Drivers\ksecdd.sys 0x8B185000 \SystemRoot\System32\Drivers\cng.sys 0x8B1E2000 \SystemRoot\System32\drivers\pcw.sys 0x8B1F0000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x8AF03000 \SystemRoot\system32\drivers\ndis.sys 0x8AFBA000 \SystemRoot\system32\drivers\NETIO.SYS 0x833CB000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x8B221000 \SystemRoot\System32\drivers\tcpip.sys 0x8B36A000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8B39B000 \SystemRoot\system32\DRIVERS\vmstorfl.sys 0x8B3A4000 \SystemRoot\system32\DRIVERS\volsnap.sys 0x8B3E3000 \SystemRoot\System32\Drivers\spldr.sys 0x83200000 \SystemRoot\System32\drivers\rdyboost.sys 0x8B3EB000 \SystemRoot\System32\Drivers\mup.sys 0x8B200000 \SystemRoot\System32\drivers\hwpolicy.sys 0x8B435000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x8B467000 \SystemRoot\system32\DRIVERS\disk.sys 0x8B478000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x8B4CF000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8B54A000 \SystemRoot\System32\Drivers\Null.SYS 0x8B551000 \SystemRoot\System32\Drivers\Beep.SYS 0x8B558000 \SystemRoot\system32\DRIVERS\ehdrv.sys 0x8B577000 \SystemRoot\System32\drivers\vga.sys 0x8B583000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8B5A4000 \SystemRoot\System32\drivers\watchdog.sys 0x8B5B1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8B5B9000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8B5C1000 \SystemRoot\system32\drivers\rdprefmp.sys 0x8B5C9000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8B5D4000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8B5E2000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8B400000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8B4EE000 \SystemRoot\system32\drivers\afd.sys 0x90224000 \SystemRoot\System32\DRIVERS\netbt.sys 0x90256000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x9025D000 \SystemRoot\system32\DRIVERS\pacer.sys 0x9027C000 \SystemRoot\system32\DRIVERS\netbios.sys 0x9028A000 \SystemRoot\system32\DRIVERS\serial.sys 0x902A4000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x902B7000 \SystemRoot\system32\DRIVERS\termdd.sys 0x902C7000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x90308000 \SystemRoot\system32\drivers\nsiproxy.sys 0x90312000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x9031C000 \SystemRoot\System32\drivers\discache.sys 0x90328000 \SystemRoot\system32\drivers\csc.sys 0x9038C000 \SystemRoot\System32\Drivers\dfsc.sys 0x903A4000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x903B2000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x903D3000 \SystemRoot\system32\DRIVERS\amdk8.sys 0x90C2A000 \SystemRoot\system32\DRIVERS\atikmdag.sys 0x910BB000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x91172000 \SystemRoot\System32\drivers\dxgmms1.sys 0x911AB000 \SystemRoot\system32\DRIVERS\Rt86win7.sys 0x911D0000 \SystemRoot\system32\DRIVERS\usbohci.sys 0x91432000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x9147D000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x9148C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x914AB000 \SystemRoot\system32\DRIVERS\serenum.sys 0x914B5000 \SystemRoot\system32\DRIVERS\parport.sys 0x914CD000 \SystemRoot\System32\Drivers\a1vq0k3e.SYS 0x91506000 \SystemRoot\system32\DRIVERS\CompositeBus.sys 0x9151E000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x91530000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x91548000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x91553000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x91575000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x9158D000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x915A4000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x915BB000 \SystemRoot\system32\DRIVERS\rdpbus.sys 0x915C5000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x915D2000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x915DF000 \SystemRoot\system32\DRIVERS\swenum.sys 0x95012000 \SystemRoot\system32\DRIVERS\ks.sys 0x95046000 \SystemRoot\system32\DRIVERS\umbus.sys 0x95054000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x95098000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x950A9000 \SystemRoot\system32\drivers\HdAudio.sys 0x950F9000 \SystemRoot\system32\drivers\portcls.sys 0x95128000 \SystemRoot\system32\drivers\drmk.sys 0x96C90000 \SystemRoot\System32\win32k.sys 0x95141000 \SystemRoot\System32\drivers\Dxapi.sys 0x9514B000 \SystemRoot\System32\Drivers\crashdmp.sys 0x95158000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x95163000 \SystemRoot\System32\Drivers\dump_atapi.sys 0x9516C000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x9517D000 \SystemRoot\system32\DRIVERS\monitor.sys 0x96EF0000 \SystemRoot\System32\TSDDD.dll 0x96F20000 \SystemRoot\System32\cdd.dll 0x95188000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x9519F000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x951A1000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x951AC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x951BF000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x951C6000 \SystemRoot\system32\DRIVERS\KMWDFILTER.sys 0x951CF000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0x951DB000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x915E1000 \SystemRoot\system32\drivers\luafv.sys 0x8201F000 \SystemRoot\system32\DRIVERS\eamonm.sys 0x820C5000 \SystemRoot\system32\drivers\WudfPf.sys 0x820DF000 \SystemRoot\system32\DRIVERS\epfw.sys 0x82101000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x82111000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x82157000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x82167000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x8217A000 \SystemRoot\system32\drivers\HTTP.sys 0x82000000 \SystemRoot\system32\DRIVERS\bowser.sys 0x951E6000 \SystemRoot\System32\drivers\mpsdrv.sys 0x91400000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x9C224000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x9C25F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x9C27A000 \SystemRoot\system32\DRIVERS\parvdm.sys 0x9C28F000 \SystemRoot\system32\drivers\peauth.sys 0x9C326000 \SystemRoot\System32\Drivers\secdrv.SYS 0x9C330000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x9C351000 \SystemRoot\System32\drivers\tcpipreg.sys 0x9C35E000 \SystemRoot\System32\DRIVERS\srv2.sys 0x9C3AD000 \SystemRoot\System32\DRIVERS\srv.sys 0x98896000 \SystemRoot\System32\drivers\rdpdr.sys 0x988BB000 \SystemRoot\system32\drivers\tdtcp.sys 0x988C5000 \SystemRoot\System32\DRIVERS\tssecsrv.sys 0x988D2000 \SystemRoot\System32\Drivers\RDPWD.SYS 0x98903000 \??\C:\Windows\system32\FsUsbExDisk.SYS 0x9890C000 \SystemRoot\System32\drivers\dgderdrv.sys 0x9890F000 \SystemRoot\System32\Drivers\ov519vid.sys 0x98938000 \SystemRoot\System32\Drivers\STREAM.SYS 0x98946000 \SystemRoot\System32\Drivers\ov519cmd.sys 0x9894C000 \SystemRoot\system32\drivers\usbaudio.sys 0x98960000 \??\C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys 0x771E0000 \Windows\System32\ntdll.dll 0x48560000 \Windows\System32\smss.exe 0x77420000 \Windows\System32\apisetschema.dll 0x10000000 \Programme\DAEMON Tools Lite\Engine.dll 0x00FD0000 \Windows\System32\autochk.exe 0x770A0000 \Windows\System32\urlmon.dll 0x77400000 \Windows\System32\psapi.dll 0x773F0000 \Windows\System32\nsi.dll 0x77340000 \Windows\System32\msvcrt.dll 0x77320000 \Windows\System32\imm32.dll 0x76F00000 \Windows\System32\setupapi.dll 0x76E00000 \Windows\System32\wininet.dll 0x76CA0000 \Windows\System32\ole32.dll 0x76C50000 \Windows\System32\gdi32.dll 0x76C00000 \Windows\System32\Wldap32.dll 0x76B80000 \Windows\System32\comdlg32.dll 0x76980000 \Windows\System32\iertutil.dll 0x76940000 \Windows\System32\ws2_32.dll 0x76870000 \Windows\System32\msctf.dll 0x76810000 \Windows\System32\shlwapi.dll 0x75BC0000 \Windows\System32\shell32.dll 0x75BB0000 \Windows\System32\normaliz.dll 0x75B10000 \Windows\System32\usp10.dll 0x75AE0000 \Windows\System32\imagehlp.dll 0x75AC0000 \Windows\System32\sechost.dll 0x75A30000 \Windows\System32\oleaut32.dll 0x75A20000 \Windows\System32\lpk.dll 0x75940000 \Windows\System32\kernel32.dll 0x758A0000 \Windows\System32\advapi32.dll 0x75840000 \Windows\System32\difxapi.dll 0x757B0000 \Windows\System32\clbcatq.dll 0x75700000 \Windows\System32\rpcrt4.dll 0x75630000 \Windows\System32\user32.dll 0x755E0000 \Windows\System32\KernelBase.dll 0x755B0000 \Windows\System32\wintrust.dll 0x75590000 \Windows\System32\devobj.dll 0x75470000 \Windows\System32\crypt32.dll 0x753E0000 \Windows\System32\comctl32.dll 0x753B0000 \Windows\System32\cfgmgr32.dll 0x753A0000 \Windows\System32\msasn1.dll Processes (total 38): 0 System Idle Process 4 SYSTEM 244 C:\Windows\System32\smss.exe 340 csrss.exe 416 C:\Windows\System32\wininit.exe 424 csrss.exe 480 C:\Windows\System32\winlogon.exe 508 C:\Windows\System32\services.exe 528 C:\Windows\System32\lsass.exe 536 C:\Windows\System32\lsm.exe 648 C:\Windows\System32\svchost.exe 708 C:\Windows\System32\svchost.exe 756 C:\Windows\System32\svchost.exe 832 C:\Windows\System32\svchost.exe 868 C:\Windows\System32\svchost.exe 1080 C:\Windows\System32\svchost.exe 1204 C:\Windows\System32\svchost.exe 1336 C:\Windows\System32\spoolsv.exe 1372 C:\Windows\System32\svchost.exe 1476 C:\Windows\System32\taskhost.exe 1576 C:\Windows\System32\svchost.exe 1584 C:\Windows\System32\dwm.exe 1604 C:\Windows\explorer.exe 1660 C:\Windows\System32\dgdersvc.exe 2024 C:\Windows\System32\svchost.exe 100 C:\Windows\System32\FsUsbExService.Exe 288 C:\Windows\System32\PnkBstrA.exe 1116 C:\Windows\System32\svchost.exe 2680 C:\Windows\System32\svchost.exe 2852 C:\Program Files\Windows Media Player\wmpnetwk.exe 3428 C:\Windows\System32\svchost.exe 3160 C:\Windows\System32\svchost.exe 2556 D:\Programme\ESET\Smart Security\ekrn.exe 1976 C:\Windows\System32\audiodg.exe 3016 C:\Program Files\Mozilla Firefox\firefox.exe 1568 C:\Users\Spirit\Desktop\MBRCheck.exe 2096 C:\Windows\System32\conhost.exe 2896 C:\Windows\System32\dllhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00 (NTFS) PhysicalDrive0 Model Number: ST3160815AS, Rev: 4.AAB Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 Done! Nur so aus Neugier, sind wir denn bald durch? |
27.01.2011, 14:58 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
27.01.2011, 18:56 | #24 |
| Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder So ich hoffe das war alles Malwarebytes [CODE]Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5618 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 27.01.2011 17:01:01 mbam-log-2011-01-27 (17-01-01).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 245254 Laufzeit: 25 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SASW Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 01/27/2011 at 06:24 PM Application Version : 4.48.1000 Core Rules Database Version : 6287 Trace Rules Database Version: 4099 Scan type : Complete Scan Total Scan Time : 00:51:46 Memory items scanned : 691 Memory threats detected : 0 Registry items scanned : 8465 Registry threats detected : 0 File items scanned : 101404 File threats detected : 10 Adware.Tracking Cookie C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@atdmt.combing[2].txt C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@tradedoubler[2].txt C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@apmebf[1].txt C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@atdmt[1].txt C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@mediaplex[2].txt Trojan.Agent/Gen-Nullo[Short] C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BMO.DLL.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BOMBERMAN.EXE.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\EPMNTDRV.SYS.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\EUGDIDRV.SYS.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\_LAUNCH.EXE.VIR |
27.01.2011, 19:41 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Sieht gut aus. Nur Überreste und Cookies. Noch Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
27.01.2011, 21:46 | #26 |
| Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Nein, alles soweit in Ordnung. Das Wartungscenter meldet auch: Keine aktuellen Probleme erkannt. Im Gegenteil, wie du dir sicher denken kannst läuft mein System gefühlt auch wieder wie frisch installiert. Vielen Dank, ich werde auf jeden Fall das Board weiter empfehlen. |
27.01.2011, 21:50 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Dann wären wir durch! Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder |
aktivieren, anderen, automatisch, computer, deaktiviert, diverse, fehlermeldung, folge, folgende, foren, funktioniert, kleine, meldung, nichts, problem, programme, rechts, search, sekunden, sicherheitscenter, starten., warnmeldung, wichtig, windows, windows 7, windows-sicherheitscenter, wirklich, ändern |